Microsoft wydał niedawno MS12-063 w celu usunięcia luk, które wpływają na wszystkie wersje programu Internet Explorer, a mianowicie wersje 6, 7, 8 i 9. Poniższy artykuł jest dogłębnym spojrzeniem na exploit zero-day i omawia jego kilka reperkusji.
o co chodzi z MS12-063?
MS12-063 to nie-pasmowy biuletyn bezpieczeństwa, który adresuje ataki poprzez luki we wszystkich obsługiwanych wersjach przeglądarki Internet Explorer (9 i wcześniejsze). Microsoft przyznał MS12 – 063 ocenę „krytyczną”.
te luki w Internet Explorerze (IE) zostały ostatnio wykorzystane w środowisku naturalnym. użycie execCommand po wolnej Luce lub CVE-2012-4969 jest najpoważniejszą z tych luk, co prowadzi do wykonania złośliwego kodu przez zdalnych atakujących.Ta szczególna luka została również wykorzystana w ukierunkowanym ataku, który skutkuje pobraniem trojana zdalnego dostępu PlugX (RAT).
jaka jest przyczyna tego exploita?
przed aktualizacją zabezpieczeń poza pasmem, niepasowane przeglądarki IE w wersjach 6-9 były narażone na działanie exploita podczas odwiedzania skompromitowanych witryn. Prowadzi to do tego, że napastnicy zyskują takie same uprawnienia jak bieżący użytkownik za pośrednictwem niezrównanych przeglądarek IE. Ponadto statystyki pokazują, że ta luka naraża ponad 30% użytkowników Internetu na całym świecie na ryzyko.
dlaczego nazywa się to luką „use after free”?
„Użyj po zwolnieniu” odnosi się do „odwoływania się do pamięci po zwolnieniu (co) może spowodować awarię programu, użycie nieoczekiwanych wartości lub wykonanie kodu.”
jak atakujący wykorzystują tę lukę?
atakujący wykorzystują kilka komponentów w celu pomyślnego wykorzystania IE. Należą do nich złośliwy plik HTML, złośliwy .Pliku SWF i wywołanie złośliwegoEXE jako ostateczny ładunek.
- gdy użytkownicy łączą się z zagrożoną witryną, złośliwym plikiem HTML lub exploitem.html (HTML_EXPDROP.II) służy jako punkt wejścia do ataku. Tworzy wiele instancji elementu obrazu (tablicy) w dokumencie lub bieżącej stronie internetowej. Wszystkie z nich ustawiają wartość src na łańcuch „a”. Wartości te są zapisywane w pamięci sterty. Sterta odnosi się do obszaru wstępnie zarezerwowanej pamięci, którego program może użyć do przechowywania danych w pewnej zmiennej ilości.
HTML_EXPDROP.II następnie ładuje złośliwy Moh2010.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK lub SWF_DROPPR.IL)
- raz Moh2010.SWF loads, the .SWF następnie ładuje ramkę iframe, która przekierowuje do ochrony.html, wykrywany również jako HTML_EXPDROP.II.
- html następnie wyzwala lukę, która następuje po następującej sekwencji zdarzeń:
- Wykonywanie dokumentu.execCommand („selectAll”) uruchamia Zdarzenie selectAll”onselect=’TestArray ()'”. Następnie wytworzy obiekt CmshtmlEd w pamięci sterty.
- Kiedy funkcja TestArray() uruchamia, wywołuje dokument.write („L” ” funkcja do przepisania .Dokument HTML. Przepisuje .Dokument HTML w celu „uwolnienia” pamięci sterty wytworzonego obiektu CmshtmlEd. (Jest to część” free „w luce” use-after-free”.)
- metoda zaznaczona na rysunku 5 poniżej (rodzic.jifud.src =…) jest wykonywane 100 razy w celu zastąpienia zwolnionej pamięci sterty obiektu CmshtmlEd.
następnie metoda CMshtmlEd:: Exec próbuje uzyskać dostęp do zwolnionej pamięci sterty obiektu CmshtmlEd. Wywołanie metody CMshtmlEd:: Exec prowadzi do błędu wyjątku, który następnie prowadzi do dowolnego wykonania kodu. (Jest to część „use” w luce „use-after-free”.)
- Wykonywanie dokumentu.execCommand („selectAll”) uruchamia Zdarzenie selectAll”onselect=’TestArray ()'”. Następnie wytworzy obiekt CmshtmlEd w pamięci sterty.
- Moh2010swf zawiera kod rozpylania sterty (shellcode), który jest już załadowany do pamięci. Po wystąpieniu błędu wyjątku use-after-free, uruchamia on Kod powłoki, który jest odpowiedzialny za pobranie i wykonanie ładunku http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe lub BKDR_POISON.BMN.
czy ten exploit spowoduje efekt IE 10?
Nie Wspomniany wcześniej exploit nie jest związany z nadchodzącą przeglądarką IE 10. Ale wkrótce po exploicie zero-day, Microsoft wydał aktualizację zabezpieczeń dla użytkowników, którzy już pobrali wstępnie wydaną wersję IE 10. Microsoft Security Advisory 2755801 usuwa luki w zabezpieczeniach programu Adobe Flash Player w IE 10 we wszystkich obsługiwanych wersjach systemu Windows 8 i Windows Server 2012.
czy były inne ataki, które wykorzystywały tę lukę?
tak. Exploit ten był również używany w atakach ukierunkowanych, które upuściły trojana zdalnego dostępu PlugX (RAT). Ataki te były wymierzone w instytucje rządowe i kluczowe gałęzie przemysłu.
jakie są inne reperkusje systemów nieporównywalnych?
exploity zazwyczaj umożliwiają atakującym upuszczanie lub ładowanie złośliwego oprogramowania, które pobiera inne, bardziej groźne złośliwe oprogramowanie do podatnych lub niepasujących systemów. Ale nawet aktualny komputer może być podatny na ataki dzięki lukom zero-day. Exploity Zero-day mają bardziej niebezpieczny charakter, ponieważ celują w luki w zabezpieczeniach, które nie zostały jeszcze rozwiązane przez odpowiednich dostawców oprogramowania. Dopóki dostawca oprogramowania nie wystawi rozwiązania obejścia problemu, tj. narzędzia naprawczego lub Aktualnej aktualizacji oprogramowania, użytkownicy pozostają niezabezpieczeni i podatni na zagrożenia.
jak się zabezpieczyć przed tą luką zero-day?
oprócz stosowania zalecanych aktualizacji zabezpieczeń, możesz odnosić się do wiarygodnych blogów o bezpieczeństwie lub witryn z poradami dostawców oprogramowania na temat nowych możliwych exploitów i określić wektory infekcji. Jeśli exploit wchodzi na komputery użytkowników za pośrednictwem określonych witryn lub atakuje określone przeglądarki, najlepiej jest przyjąć proaktywne podejście. Przełącz się na inną przeglądarkę, aż będziesz mieć pewność, że wszystkie poprawki są na miejscu. Jednak korzystanie z innych przeglądarek internetowych poza IE może nie być realną opcją dla niektórych użytkowników ze względu na ograniczenia narzucone przez administratorów IT w różnych instytucjach.
w każdym razie, dopóki nie zostaną wydane niezbędne poprawki, zapobieganie exploitom przeglądarki wbudowane w Trend Micro ™ Titanium™ 2013 chroni również użytkowników przed exploitami skierowanymi na tę lukę.
czy użytkownicy Trend Micro są chronieni przed tym zagrożeniem?
tak. Trend Micro™ Smart Protection Network ™ chroni użytkowników, wykrywając exploita i inne złośliwe pliki oraz blokując dostęp do złośliwych serwerów. Zapoznaj się z naszym biuletynem na temat luk w zabezpieczeniach, aby uzyskać informacje o tym, jak Głębokie zabezpieczenia chronią klientów przed tymi exploitami. Ponadto użytkownicy mogą zapoznać się z oficjalną stroną biuletynów bezpieczeństwa firmy Microsoft, aby uzyskać poprawki i szczegółowe informacje na temat luk w zabezpieczeniach.