Microsoft lançou recentemente o MS12-063 abordar as vulnerabilidades que afetam todas as versões do Internet Explorer, nomeadamente as versões 6, 7, 8, e 9. O artigo a seguir é uma análise aprofundada da exploração do dia zero e discute suas várias repercussões.
o que é MS12-063 tudo sobre?MS12-063 é um boletim de segurança out-of-band que aborda ataques através de vulnerabilidades em todas as versões suportadas do Internet Explorer (9 e anteriores). A Microsoft deu ao MS12-063 uma classificação “crítica”.Estas vulnerabilidades no Internet Explorer (IE) foram recentemente exploradas na natureza. o uso do execCommand após vulnerabilidade gratuita ou CVE-2012-4969 é a mais grave dessas vulnerabilidades, o que leva à execução de código malicioso por invasores remotos.Essa vulnerabilidade em particular também foi explorada em um ataque direcionado que resulta no Download do Trojan PlugX remote access (RAT).
Qual é a causa raiz desse exploit?
antes da atualização de segurança fora da banda, os navegadores IE não corrigidos versões 6-9 eram vulneráveis ao exploit ao visitar sites comprometidos. Isso leva os invasores a obter os mesmos privilégios que o usuário atual por meio dos navegadores IE não corrigidos. Além disso, as estatísticas mostraram que essa vulnerabilidade coloca mais de 30% dos usuários da Internet em todo o mundo em risco.
por que é chamado de vulnerabilidade “use after free”?
“Use after free” refere-se a “referenciar a memória depois de ter sido liberada (o que) pode causar uma falha no programa, usar valores inesperados ou executar código.”
como os invasores exploram essa vulnerabilidade?
atacantes fazem uso de vários componentes, a fim de explorar com sucesso IE. Estes incluem um arquivo HTML malicioso, um malicioso .Arquivo SWF e acionando um malicioso .EXE como uma carga útil final.
- quando os usuários se conectam a um site comprometido, o arquivo HTML malicioso ou exploit.html (HTML_EXPDROP.II) serve como ponto de entrada do ataque. Ele cria várias instâncias do elemento de imagem (array) no documento ou na página da Web atual. Tudo isso define o valor de SRC para string “a”. Esses valores são armazenados na memória heap. Um heap refere-se a uma área de memória pré-reservada que um programa pode usar para armazenar dados em alguma quantidade variável.
HTML_EXPDROP.II então carrega o moh2010 malicioso.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK ou SWF_DROPPR.IL)
- uma vez Moh2010.swf carrega, o.SWF então carrega um iframe que redireciona para proteger.html, também detectado como HTML_EXPDROP.II.
- proteger.o html então aciona a vulnerabilidade que segue a seguinte sequência de eventos:
- executando o documento.execCommand (“selectAll”) aciona o evento selectAll”onselect=’TestArray ()'”. Em seguida, ele cria o objeto CmshtmlEd na memória heap.
- quando a função TestArray () é acionada, ela chama o documento.escrever (função ” L “” para reescrever o.Documento HTML. Ele reescreve o.Documento HTML para “liberar” a memória heap do objeto cmshtmled criado. (Esta é a parte” livre “na vulnerabilidade” use-after-free”.)
- o método destacado na Figura 5 abaixo (pai.jifud.src=…) é executado 100 vezes para tentar sobrescrever a memória heap liberada do objeto CmshtmlEd.
o método CMshtmlEd:: Exec tenta acessar a memória heap liberada do objeto CmshtmlEd. Chamar o método CMshtmlEd:: Exec leva a um erro de exceção, que leva à execução de código arbitrário. (Esta é a parte” usar “na vulnerabilidade” Usar Após livre”.)
- Moh2010.swf contém o código heap spray (shellcode) que já está carregado na memória. Uma vez que o erro de exceção use-after-free ocorre, ele executa o shellcode que é responsável por baixar e executar a carga útil http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe ou BKDR_POISON.BMN.
essa exploração causará um impacto, ou seja, 10?
não. O exploit mencionado anteriormente não está relacionado ao próximo navegador IE 10. Mas logo após a exploração do dia zero, a Microsoft lançou uma atualização de segurança para usuários que já baixaram a versão pré-lançada do IE 10. O Microsoft Security Advisory 2755801 aborda vulnerabilidades no Adobe Flash Player no IE 10 em todas as edições suportadas do Windows 8 e Windows Server 2012.
houve outros ataques que exploraram essa vulnerabilidade?
Sim. Essa exploração também foi usada em ataques direcionados que derrubaram o Trojan PlugX remote access (RAT). Esses ataques visavam instituições relacionadas ao governo e indústrias-chave.
quais são as outras repercussões dos sistemas não corrigidos?Os Exploits geralmente permitem que os invasores soltem ou carreguem malware que baixa outros malwares mais ameaçadores em sistemas vulneráveis ou não corrigidos. Mas mesmo um computador atualizado pode ser vulnerável a ataques por meio de vulnerabilidades de dia zero. As explorações de dia Zero são mais perigosas por natureza, pois visam vulnerabilidades que ainda precisam ser resolvidas pelos respectivos fornecedores de software. Até que o fornecedor do software emita uma solução alternativa, ou seja, uma ferramenta de correção ou a atualização de software real, os usuários ficam desprotegidos e vulneráveis a ameaças.Como me protejo desta vulnerabilidade de dia zero?Além de aplicar as atualizações de segurança prescritas, você pode consultar blogs de segurança confiáveis ou sites de consultoria de fornecedores de software sobre novas explorações possíveis e determinar os vetores de infecção envolvidos. Se o exploit entrar nos computadores dos usuários por meio de sites específicos ou atingir determinados navegadores, é melhor adotar uma abordagem proativa. Mude para um navegador diferente até ter certeza de que todas as correções estão em vigor. Mas usar outros navegadores da web além do IE pode não ser uma opção viável para alguns usuários devido às limitações impostas pelos administradores de TI em diferentes instituições.
em qualquer caso, até que os patches necessários sejam lançados, a prevenção de exploração do navegador incorporada ao Trend Micro™ Titanium™ 2013 também protege os usuários contra exploits direcionados a essa vulnerabilidade.
os usuários da Trend Micro estão protegidos dessa ameaça?
Sim. O Trend Micro ™ Smart Protection Network ™ protege os usuários detectando o exploit e outros arquivos maliciosos e bloqueando o acesso aos servidores maliciosos. Consulte nossa página de boletim de vulnerabilidades para obter informações sobre como a Deep Security protege os clientes desses exploits. Além disso, os usuários podem consultar a página oficial de boletins de segurança da Microsoft para os patches e informações detalhadas sobre as vulnerabilidades.