Microsoft ha recentemente rilasciato MS12-063 indirizzo di vulnerabilità che interessano tutte le versioni di Internet Explorer, vale a dire le versioni 6, 7, 8, e 9. Il seguente articolo è uno sguardo approfondito l’exploit zero-day e discute le sue diverse ripercussioni.
Che cosa è MS12-063 tutto?
MS12-063 è un bollettino di sicurezza out-of-band che affronta gli attacchi attraverso vulnerabilità in tutte le versioni supportate di Internet Explorer (9 e precedenti). Microsoft ha dato a MS12-063 una valutazione “critica”.
Queste vulnerabilità in Internet Explorer (IE) sono state recentemente sfruttate in natura. execCommand Uso dopo vulnerabilità libera o CVE-2012-4969 è la più grave di queste vulnerabilità che porta all’esecuzione di codice dannoso da parte di aggressori remoti.Questa particolare vulnerabilità è stata sfruttata anche in un attacco mirato che si traduce nel download del PlugX remote access Trojan (RAT).
Qual è la causa principale di questo exploit?
Prima dell’aggiornamento della sicurezza out-of-band, le versioni dei browser IE senza patch 6-9 erano vulnerabili all’exploit visitando siti Web compromessi. Ciò porta gli aggressori a ottenere gli stessi privilegi dell’utente corrente tramite i browser IE senza patch. Inoltre, le statistiche hanno dimostrato che questa vulnerabilità mette a rischio oltre il 30% degli utenti Internet in tutto il mondo.
Perché si chiama la vulnerabilità “use after free”?
” Use after free “si riferisce a” riferimento alla memoria dopo che è stata liberata (che) può causare il crash di un programma, utilizzare valori imprevisti o eseguire codice.”
In che modo gli aggressori sfruttano questa vulnerabilità?
Gli aggressori fanno uso di diversi componenti al fine di sfruttare con successo IE. Questi includono un file HTML dannoso, un dannoso .File SWF, e innescando un dannoso .EXE come carico utile finale.
- Quando gli utenti si connettono a un sito web compromesso, il file HTML dannoso o sfruttare.html (HTML_EXPDROP.II) serve come punto di ingresso dell’attacco. Crea più istanze dell’elemento immagine (array) nel documento o nella pagina Web corrente. Tutti questi impostano il valore di src sulla stringa “a”. Questi valori sono memorizzati nella memoria heap. Un heap si riferisce a un’area di memoria pre-riservata che un programma può utilizzare per memorizzare i dati in una certa quantità variabile.
HTML_EXPDROP.II quindi carica il Moh2010 dannoso.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK o SWF_DROPPR.IL)
- Una volta Moh2010.carichi swf, il .SWF carica quindi un iframe che reindirizza alla protezione.html, rilevato anche come HTML_EXPDROP.II.
- Proteggere.html attiva quindi la vulnerabilità che segue la seguente sequenza di eventi:
- Esecuzione del documento.execCommand (“selectAll”) attiva l’evento selectAll”onselect=’TestArray ()'”. Quindi crea l’oggetto CmshtmlEd nella memoria heap.
- Quando la funzione TestArray() si attiva, chiama il documento.scrivere (“L “” funzione per riscrivere il .Documento HTML. Si riscrive il .Documento HTML per “liberare” la memoria heap dell’oggetto CmshtmlEd creato. (Questa è la parte” libera “nella vulnerabilità” use-after-free”.)
- Il metodo evidenziato in Figura 5 sotto (parent.jifud.src = …) viene eseguito 100 volte per provare a sovrascrivere la memoria heap liberata dell’oggetto CmshtmlEd.
Il metodo CMshtmlEd:: Exec tenta quindi di accedere alla memoria heap liberata dell’oggetto CmshtmlEd. La chiamata del metodo CMshtmlEd:: Exec porta a un errore di eccezione, che porta quindi all’esecuzione di codice arbitrario. (Questa è la parte “use” nella vulnerabilità “use-after-free”.)
- Esecuzione del documento.execCommand (“selectAll”) attiva l’evento selectAll”onselect=’TestArray ()'”. Quindi crea l’oggetto CmshtmlEd nella memoria heap.
- Moh2010.swf contiene il codice heap spray (shellcode) che è già caricato nella memoria. Una volta che si verifica l’errore use-after-free exception, esegue lo shellcode responsabile del download ed esecuzione del payload http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe o BKDR_POISON.BMN.
Questo exploit causerà un impatto IE 10?
N. L’exploit precedentemente menzionato non è correlato al prossimo browser IE 10. Ma poco dopo l’exploit zero-day, Microsoft ha rilasciato un aggiornamento di sicurezza per gli utenti che hanno già scaricato la versione pre-rilasciata di IE 10. Microsoft Security Advisory 2755801 risolve le vulnerabilità in Adobe Flash Player in IE 10 su tutte le edizioni supportate di Windows 8 e Windows Server 2012.
Ci sono stati altri attacchi che hanno sfruttato questa vulnerabilità?
Sì. Questo exploit è stato utilizzato anche in attacchi mirati che ha lasciato cadere il PlugX remote access Trojan (RAT). Questi attacchi erano rivolti verso le istituzioni legate al governo e le industrie chiave.
Quali sono le altre ripercussioni dei sistemi senza patch?
Gli exploit generalmente consentono agli aggressori di scaricare o caricare malware che scarica altri malware più minacciosi su sistemi vulnerabili o privi di patch. Ma anche un computer aggiornato può essere vulnerabile agli attacchi attraverso vulnerabilità zero-day. Gli exploit zero-day sono di natura più pericolosa in quanto mirano a vulnerabilità che devono ancora essere risolte dai rispettivi fornitori di software. Fino a quando il fornitore del software non emette una soluzione alternativa, ovvero uno strumento di correzione o l’aggiornamento software effettivo, gli utenti rimangono non protetti e vulnerabili alle minacce.
Come posso proteggermi da questa vulnerabilità zero-day?
Oltre ad applicare gli aggiornamenti di sicurezza prescritti, è possibile fare riferimento a blog di sicurezza affidabili o siti di consulenza fornitore di software su nuovi possibili exploit e determinare i vettori di infezione coinvolti. Se l’exploit entra nei computer degli utenti attraverso siti specifici o si rivolge a determinati browser, è meglio adottare un approccio proattivo. Passare a un browser diverso fino a quando si è sicuri che tutte le correzioni sono a posto. Ma l’utilizzo di altri browser Web a parte IE potrebbe non essere un’opzione praticabile per alcuni utenti a causa di limitazioni richieste dagli amministratori IT in diverse istituzioni.
In ogni caso, fino al rilascio delle patch necessarie, il browser exploit prevention integrato in Trend Micro™ Titanium™ 2013 protegge anche gli utenti dagli exploit mirati a questa vulnerabilità.
Gli utenti di Trend Micro sono protetti da questa minaccia?
Sì. Trend Micro ™ Smart Protection Network ™ protegge gli utenti rilevando l’exploit e altri file dannosi e bloccando l’accesso ai server dannosi. Per informazioni su come la sicurezza profonda protegge i clienti da questi exploit, consulta la nostra pagina del bollettino sulle vulnerabilità. Inoltre, gli utenti possono fare riferimento alla pagina ufficiale dei bollettini di sicurezza di Microsoft per le patch e le informazioni dettagliate sulle vulnerabilità.