Microsoft har nyligen släppt MS12-063 för att ta itu med sårbarheter som påverkar alla versioner av Internet Explorer, nämligen versioner 6, 7, 8 och 9. Följande artikel är en djupgående titt på zero-day exploit och diskuterar dess flera konsekvenser.
Vad handlar MS12-063 om?
MS12-063 är en säkerhetsbulletin utanför bandet som adresserar attacker genom sårbarheter i alla versioner av Internet Explorer som stöds (9 och tidigare). Microsoft gav MS12-063 ett kritiskt betyg.
dessa sårbarheter i Internet Explorer (IE) utnyttjades nyligen i naturen. execCommand-användning efter fri sårbarhet eller CVE-2012-4969 är den allvarligaste av dessa sårbarheter som leder till att skadlig kod körs av fjärrangripare.Denna speciella sårbarhet utnyttjades också i en riktad attack som resulterar i nedladdning av PlugX remote access Trojan (RAT).
Vad är orsaken till detta utnyttjande?
före säkerhetsuppdateringen utanför bandet var oöverträffade IE-webbläsarversioner 6-9 sårbara för utnyttjandet vid besök på komprometterade webbplatser. Detta leder till att angripare får samma privilegier som den nuvarande användaren via de oöverträffade IE-webbläsarna. Dessutom har statistik visat att denna sårbarhet riskerar mer än 30% Internetanvändare över hela världen.
varför kallas det” använd efter fri ” sårbarhet?
” Använd efter fri ”hänvisar till” referensminne efter att det har befriats (vilket) kan orsaka att ett program kraschar, använder oväntade värden eller kör kod.”
hur utnyttjar angripare denna sårbarhet?
angripare använder sig av flera komponenter för att framgångsrikt utnyttja IE. Dessa inkluderar en skadlig HTML-fil, en skadlig .SWF-fil, och utlöser en skadlig .EXE som en slutlig nyttolast.
- när användare ansluter till en komprometterad webbplats, skadlig HTML-fil eller utnyttja.html (HTML_EXPDROP.II) fungerar som startpunkten för attacken. Det skapar flera instanser av bildelementet (array) i dokumentet eller den aktuella webbsidan. Alla dessa anger värdet på src till sträng”a”. Dessa värden lagras i heap-minnet. En heap avser ett område med reserverat minne som ett program kan använda för att lagra data i viss variabel mängd.
HTML_EXPDROP.II laddar sedan den skadliga Moh2010.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK eller SWF_DROPPR.IL)
- när Moh2010.swf laster, de .SWF laddar sedan en iframe som omdirigerar för att skydda.html, även upptäckt som HTML_EXPDROP.II.
- skydda.html utlöser sedan sårbarheten som följer följande händelsesekvens:
- exekvera dokument.execCommand (”selectAll”) utlöser selectAll-händelsen”onselect=’TestArray ()'”. Det skapar sedan cmshtmled-objektet i heap-minnet.
- när funktionen TestArray () utlöses anropar den dokumentet.skriva (”L” ” funktion för att skriva om .HTML-dokument. Det skriver om .HTML-dokument för att” frigöra ” heapminnet för det skapade cmshtmled-objektet. (Detta är den” fria ”delen i sårbarheten” använd-efter-fri”.)
- metoden markeras i Figur 5 nedan (förälder.jifud.src =…) körs 100 gånger för att försöka skriva över det frigjorda heapminnet för cmshtmled-objektet.
CMshtmlEd:: Exec-metoden försöker sedan komma åt det frigjorda heapminnet för cmshtmled-objektet. Anrop av cmshtmled:: Exec-metoden leder till ett undantagsfel, vilket sedan leder till exekvering av godtycklig kod. (Detta är” använd ”-delen i sårbarheten” använd-efter-fri”.)
- Moh2010.swf innehåller heap spray-koden (shellcode) som redan är laddad i minnet. När felet use-after-free exception inträffar kör det sedan skalkoden som ansvarar för nedladdning och körning av nyttolasten http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe eller BKDR_POISON.BMN.
kommer detta utnyttjande att orsaka en inverkan IE 10?
Nej. Det tidigare nämnda utnyttjandet är inte relaterat till den kommande IE 10-webbläsaren. Men strax efter nolldagsutnyttjandet släppte Microsoft en säkerhetsuppdatering för användare som redan har laddat ner den förutgivna versionen av IE 10. Microsoft Security Advisory 2755801 åtgärdar sårbarheter i Adobe Flash Player i IE 10 på alla versioner av Windows 8 och Windows Server 2012 som stöds.
fanns det andra attacker som utnyttjade denna sårbarhet?
Ja. Detta utnyttjande användes också i riktade attacker som tappade PlugX remote access Trojan (RAT). Dessa attacker riktades mot regeringsrelaterade institutioner och viktiga industrier.
Vad är andra konsekvenser av opatchade system?
Exploits tillåter i allmänhet angripare att släppa eller ladda skadlig kod som hämtar andra, mer hotfulla skadliga program på sårbara eller opatchade system. Men även en uppdaterad dator kan vara sårbar för attacker genom nolldagars sårbarheter. Nolldagsutnyttjande är farligare i naturen eftersom de riktar sig mot sårbarheter som ännu inte har lösts av respektive programvaruleverantörer. Tills programvaruleverantören utfärdar en lösning, det vill säga ett fixverktyg eller den faktiska programuppdateringen, lämnas användarna oskyddade och sårbara för hot.
Hur skyddar jag mig mot denna nolldagssårbarhet?
förutom att tillämpa de föreskrivna säkerhetsuppdateringarna kan du hänvisa till pålitliga säkerhetsbloggar eller rådgivande webbplatser för programvaruleverantörer om nya möjliga utnyttjanden och bestämma infektionsvektorerna. Om utnyttjandet går in i användarnas datorer via specifika webbplatser eller riktar sig till vissa webbläsare är det bäst att ta ett proaktivt tillvägagångssätt. Byt till en annan webbläsare tills du är säker på att alla korrigeringar är på plats. Men att använda andra webbläsare förutom IE kanske inte är ett hållbart alternativ för vissa användare på grund av begränsningar som krävs av IT-administratörer i olika institutioner.
under alla omständigheter, tills de nödvändiga korrigeringsfilerna släpps, skyddar browser exploit prevention inbyggd i Trend Micro Brasilian Titanium 2013 också användare mot exploater som riktar sig mot denna sårbarhet.
är Trend Micro-användare skyddade från detta hot?
Ja. Trend Micro Xiaomi Smart Protection Network skyddar användare genom att upptäcka exploit och andra skadliga filer och blockera åtkomst till de skadliga servrarna. Se vår sårbarhet bulletin sida för information om hur Deep Security skyddar kunder från dessa bedrifter. Dessutom kan användare hänvisa till den officiella Microsoft-Säkerhetsbulletins-sidan för korrigeringsfilerna och detaljerad information om sårbarheterna.