Microsoft a lansat recent MS12-063 pentru a aborda vulnerabilitățile care afectează toate versiunile de Internet Explorer, și anume versiunile 6, 7, 8 și 9. Următorul articol este o privire aprofundată asupra exploatării zero-day și discută repercusiunile sale.
ce este MS12-063 despre toate?
MS12-063 este un buletin de securitate out-of-band care abordează atacurile prin vulnerabilități în toate versiunile acceptate de Internet Explorer (9 și mai devreme). Microsoft a acordat MS12-063 un rating ‘critic’.
aceste vulnerabilități din Internet Explorer (IE) au fost exploatate recent în sălbăticie. utilizarea execCommand after free Vulnerability sau CVE-2012-4969 este cea mai severă dintre aceste vulnerabilități, ceea ce duce la executarea codului rău intenționat de către atacatorii de la distanță.Această vulnerabilitate specială a fost, de asemenea, exploatată într-un atac vizat care are ca rezultat descărcarea troianului de acces la distanță PlugX (RAT).
care este cauza principală a acestui exploit?
înainte de actualizarea de securitate out-of-band, unpatched IE browsere versiunile 6-9 au fost vulnerabile la exploit la vizitarea site-uri compromise. Acest lucru duce la atacatorii care câștigă aceleași privilegii ca și utilizatorul curent prin browserele IE nepatchate. În plus, statisticile au arătat că această vulnerabilitate pune mai mult de 30% utilizatori de Internet din întreaga lume în pericol.
de ce se numește vulnerabilitatea „utilizare după liber”?
„Use after free” se referă la ” referențierea memoriei după ce a fost eliberată (care) poate provoca blocarea unui program, utilizarea unor valori neașteptate sau executarea unui cod.”
cum exploatează atacatorii această vulnerabilitate?
atacatorii folosesc mai multe componente pentru a exploata cu succes IE. Acestea includ un fișier HTML rău intenționat, un rău intenționat .Fișier SWF, și declanșarea unui malware .EXE ca sarcină utilă finală.
- când utilizatorii se conectează la un site web compromis, fișierul HTML rău intenționat sau exploata.html (HTML_EXPDROP.Ii) servește ca punct de intrare al atacului. Se creează mai multe instanțe ale elementului imagine (matrice) în document, sau pagina web curentă. Toate acestea setează valoarea src la șirul”a”. Aceste valori sunt stocate în memoria heap. O grămadă se referă la o zonă de memorie pre-rezervată pe care un program o poate utiliza pentru a stoca date într-o anumită cantitate variabilă.
HTML_EXPDROP.Ii încarcă apoi moh2010 rău intenționat.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK sau SWF_DROPPR.IL)
- odată ce Moh2010.SARCINI swf, la .SWF încarcă apoi un iframe care redirecționează pentru a proteja.html, de asemenea, detectat ca HTML_EXPDROP.Ii.
- a proteja.html declanșează apoi vulnerabilitatea care urmează următoarea secvență de evenimente:
- executarea documentului.execCommand („selectAll”) declanșează evenimentul selectAll”onselect=’TestArray ()'”. Apoi creează obiectul CmshtmlEd în memoria heap.
- când funcția TestArray () declanșează, apelează documentul.scrie („l „” funcția de a rescrie .Document HTML. Se rescrie .Document HTML pentru a „elibera” memoria heap a obiectului CmshtmlEd creat. (Aceasta este partea” gratuită „din vulnerabilitatea” utilizare-după-liberă”.)
- metoda evidențiată în Figura 5 de mai jos (părinte.jifud.src=…) este executat de 100 de ori pentru a încerca să suprascrie memoria heap eliberată a obiectului CmshtmlEd.
metoda CMshtmlEd:: Exec încearcă apoi să acceseze memoria heap eliberată a obiectului CmshtmlEd. Apelarea metodei Cmshtmled:: Exec duce la o eroare de excepție, care duce apoi la executarea arbitrară a codului. (Aceasta este partea” utilizare „din vulnerabilitatea” utilizare-după-free”.)
- executarea documentului.execCommand („selectAll”) declanșează evenimentul selectAll”onselect=’TestArray ()'”. Apoi creează obiectul CmshtmlEd în memoria heap.
- Moh2010.swf conține codul de pulverizare heap (shellcode) care este deja încărcat în memorie. Odată ce apare eroarea de excepție use-after-free, se execută apoi shellcode care este responsabil pentru descărcarea și executarea sarcinii utile http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe sau BKDR_POISON.BMN.
acest exploit va provoca un impact IE 10?
nu. Exploatarea menționată anterior nu are legătură cu viitorul browser IE 10. Dar la scurt timp după exploatarea zero-day, Microsoft a lansat o actualizare de securitate pentru utilizatorii care au descărcat deja versiunea pre-lansată a IE 10. Microsoft Security Advisory 2755801 abordează vulnerabilitățile din Adobe Flash Player în IE 10 pe toate edițiile acceptate de Windows 8 și Windows Server 2012.
au existat alte atacuri care au exploatat această vulnerabilitate?
Da. Acest exploit a fost, de asemenea, utilizat în atacuri direcționate care au renunțat la Troianul de acces la distanță PlugX (RAT). Aceste atacuri au vizat instituțiile guvernamentale și industriile cheie.
care sunt alte repercusiuni ale sistemelor nepatchate?
exploatările permit, în general, atacatorilor să renunțe sau să încarce malware care descarcă alte programe malware mai amenințătoare pe sisteme vulnerabile sau nepatchate. Dar chiar și un computer actualizat poate fi vulnerabil la atacuri prin vulnerabilități zero-day. Exploatările zero-day sunt mai periculoase în natură, deoarece vizează vulnerabilități care nu au fost încă rezolvate de furnizorii de software respectivi. Până când furnizorul de software emite o soluție de soluție, adică un instrument de remediere sau actualizarea software reală, utilizatorii sunt lăsați neprotejați și vulnerabili la amenințări.
cum mă protejez de această vulnerabilitate zero-day?
în afară de aplicarea actualizărilor de securitate prescrise, puteți consulta bloguri de securitate fiabile sau site-uri de consultanță pentru furnizorii de software Despre noi exploatări posibile și puteți determina vectorii de infecție implicați. Dacă exploatarea intră în computerele utilizatorilor prin anumite site-uri sau vizează anumite browsere, este mai bine să adoptați o abordare proactivă. Comutați la un alt browser până când sunteți sigur că toate remedierile sunt în vigoare. Dar utilizarea altor browsere Web în afară de IE poate să nu fie o opțiune viabilă pentru unii utilizatori din cauza limitărilor mandatate de administratorii IT din diferite instituții.
în orice caz, până la lansarea patch-urilor necesare, browser-ul exploit prevention încorporat în Trend Micro Titanium 2013 protejează utilizatorii împotriva exploatărilor care vizează această vulnerabilitate.
utilizatorii Trend Micro sunt protejați de această amenințare?
Da. Rețeaua de protecție inteligentă Trend Micro Xqtix protejează utilizatorii prin detectarea exploatării și a altor fișiere rău intenționate și blocarea accesului la serverele rău intenționate. Consultați pagina buletinului de vulnerabilități pentru informații despre modul în care securitatea profundă protejează clienții de aceste exploatări. În plus, utilizatorii pot consulta pagina oficială de buletine de securitate Microsoft pentru patch-uri și informații detaliate despre vulnerabilități.