Microsoft heeft onlangs MS12-063 uitgebracht om kwetsbaarheden aan te pakken die van invloed zijn op alle versies van Internet Explorer, namelijk versies 6, 7, 8 en 9. Het volgende artikel is een diepgaande blik op de zero-day exploit en bespreekt de verschillende repercussies.
waar gaat MS12-063 over?
MS12-063 is een out-of-band beveiligingsbulletin dat aanvallen aanpakt door kwetsbaarheden in alle ondersteunde versies van Internet Explorer (9 en eerder). Microsoft gaf MS12-063 een ‘kritische’ waardering.
deze kwetsbaarheden in Internet Explorer (IE) werden onlangs in het wild uitgebuit. execCommand gebruik Na gratis kwetsbaarheid of CVE-2012-4969 is de meest ernstige van deze kwetsbaarheden die leidt tot het uitvoeren van kwaadaardige code door externe aanvallers.Deze bijzondere kwetsbaarheid werd ook uitgebuit in een gerichte aanval die resulteert in het downloaden van de PlugX remote access Trojan (RAT).
Wat is de oorzaak van deze exploit?
voorafgaand aan de out-of-band beveiligingsupdate, ongepatchte IE browsers versies 6-9 waren kwetsbaar voor de exploit bij het bezoeken van gecompromitteerde websites. Dit leidt tot aanvallers het verkrijgen van dezelfde privileges als de huidige gebruiker via de ongepatchte IE browsers. Bovendien, statistieken hebben aangetoond dat deze kwetsbaarheid zet meer dan 30% internetgebruikers wereldwijd in gevaar.
Waarom wordt het de “use after free” kwetsbaarheid genoemd?
” Use after free “verwijst naar” referencing memory after it has been freed (which) can cause a program to crash, use unexpected values, or execute code.”
Hoe kunnen aanvallers misbruik maken van deze kwetsbaarheid?
aanvallers maken gebruik van verschillende componenten om IE succesvol te exploiteren. Deze omvatten een kwaadaardig HTML-bestand, een kwaadaardig .SWF-bestand, en triggering een kwaadaardige .EXE als laatste lading.
- wanneer gebruikers verbinding maken met een gecompromitteerde website, de kwaadaardige HTML-bestand of exploiteren.html (HTML_EXPDROP.II) dient als het ingangspunt van de aanval. Het maakt meerdere exemplaren van het afbeeldingselement (array) in het document, of de huidige webpagina. Al deze stellen de waarde van src in op string “a”. Deze waarden worden opgeslagen in het heapgeheugen. Een hoop verwijst naar een gebied van vooraf gereserveerd geheugen dat een programma kan gebruiken om gegevens op te slaan in één of andere variabele hoeveelheid.
HTML_EXPDROP.II laadt vervolgens de kwaadaardige Moh2010.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK of SWF_DROPPR.IL)
- eenmaal Moh2010.swf ladingen, de .SWF laadt dan een iframe dat omleidingen om te beschermen.html, ook gedetecteerd als HTML_EXPDROP.II.
- beschermen.html activeert vervolgens de kwetsbaarheid die de volgende reeks gebeurtenissen volgt:
- document uitvoeren.execCommand (“selectAll”) activeert de SelectAll event”onselect=’TestArray ()'”. Het creëert dan de CmshtmlEd object in heap geheugen.
- wanneer de functie TestArray () triggers, het roept het document.schrijf (“L” ” functie om de te herschrijven .HTML-document. Het herschrijft de .HTML-document om “vrij” de heap geheugen van de gemaakte CmshtmlEd object. (Dit is het” gratis “deel in de” use-after-free ” kwetsbaarheid.)
- de in Figuur 5 aangegeven methode (ouder.jifud.src=…) wordt 100 keer uitgevoerd om te proberen het vrijgemaakte heap-geheugen van het CmshtmlEd-object te overschrijven.
de methode CMshtmlEd:: Exec probeert vervolgens toegang te krijgen tot het bevrijd heapgeheugen van het CmshtmlEd-object. Het aanroepen van de CMshtmlEd:: Exec methode leidt tot een uitzondering fout, die vervolgens leidt tot willekeurige code uitvoering. (Dit is het” use “deel in de” use-after-free ” kwetsbaarheid.)
- document uitvoeren.execCommand (“selectAll”) activeert de SelectAll event”onselect=’TestArray ()'”. Het creëert dan de CmshtmlEd object in heap geheugen.
- Moh2010.swf bevat de heap spray code (shellcode) die al in het geheugen is geladen. Zodra de use-after-free exception fout optreedt, voert het de shellcode uit die verantwoordelijk is voor het downloaden en uitvoeren van de payload http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe of BKDR_POISON.BMN.
zal deze exploit een impact IE 10 veroorzaken?
nr. De eerder genoemde exploit is niet gerelateerd aan de komende IE 10 browser. Maar kort na de zero-day exploit, Microsoft bracht een beveiligingsupdate voor gebruikers die al de pre-released versie van IE hebben gedownload 10. Microsoft Security Advisory 2755801 adressen kwetsbaarheden in Adobe Flash Player in IE 10 op alle ondersteunde edities van Windows 8 en Windows Server 2012.
waren er andere aanvallen die deze kwetsbaarheid uitgebuit?
Ja. Deze exploit werd ook gebruikt in gerichte aanvallen die de PlugX remote access Trojan liet vallen (RAT). Deze aanvallen waren gericht op overheidsinstellingen en belangrijke industrieën.
Wat zijn de andere gevolgen van ongepatchte systemen?
Exploits stellen over het algemeen aanvallers in staat malware te laten vallen of laden die andere, meer bedreigende malware downloadt op kwetsbare of ongepatchte systemen. Maar zelfs een up-to-date computer kan kwetsbaar zijn voor aanvallen door zero-day kwetsbaarheden. Zero-day exploits zijn gevaarlijker van aard als ze richten kwetsbaarheden die nog moeten worden opgelost door de respectieve softwareleveranciers. Totdat de softwareleverancier een tijdelijke oplossing uitgeeft, d.w.z. een fix-tool of de eigenlijke software-update, worden gebruikers onbeschermd en kwetsbaar voor bedreigingen.
Hoe bescherm ik mezelf tegen deze zero-day kwetsbaarheid?
naast het toepassen van de voorgeschreven beveiligingsupdates, kunt u naar betrouwbare beveiligingsblogs of websites met advies over nieuwe mogelijke exploits verwijzen en de betrokken infectievectoren bepalen. Als de exploit computers van gebruikers binnenkomt via specifieke sites of zich richt op bepaalde browsers, is het het beste om een proactieve aanpak te nemen. Schakel over naar een andere browser totdat u zeker weet dat alle fixes op zijn plaats zijn. Maar het gebruik van andere webbrowsers afgezien van IE kan niet een haalbare optie voor sommige gebruikers als gevolg van beperkingen verplicht door IT-beheerders in verschillende instellingen.
in ieder geval beschermt de browser exploit prevention ingebouwd in Trend Micro™ Titanium™ 2013, totdat de benodigde patches zijn vrijgegeven, gebruikers ook tegen exploits die zich richten op deze kwetsbaarheid.
zijn Trendmicrogebruikers beschermd tegen deze bedreiging?
Ja. De Trend Micro ™ Smart Protection Network™ beschermt gebruikers door het detecteren van de exploit en andere schadelijke bestanden en het blokkeren van de toegang tot de kwaadaardige servers. Raadpleeg onze kwetsbaarheid bulletin pagina voor informatie over hoe diep beveiliging beschermt klanten tegen deze exploits. Bovendien, gebruikers kunnen verwijzen naar de officiële Microsoft Security Bulletins pagina voor de patches en gedetailleerde informatie over de kwetsbaarheden.