Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Internet Explorer 0-day - Hóember hadművelet

2014.02.14. 09:43 | buherator | Szólj hozzá!

A FireEye eddig ismeretlen 0-day Internet explorer exploitot azonosított. A célzott "watering-hole" támadásokban kihasznált use-after-free sérülékenység a böngésző 9-es és 10-es változatait érinti, a támadók most a 10-esre lőnek. Az exploit Flash-es heap-spray-t használ az ASLR megkerülésére, és egy ROP lánc lefutása után gey egy byte-os XOR-ral obfuszkált ZXShell RAT-t pottyant az áldozat gépére (ez a trükk gondolom az AV-knak ismét megugorhatatlan feladatot jelent). Érdekesség, hogy az exploit képes detektálni, ha az áldozat EMET-et használ, ilyenkor a támadók visszavonulót fújnak. Az IE 10 sandbox kijátszásának módjáról egyelőre nem áll rendelkezésre információ.

A FireEye szerint a támadás sok hasonlóságot mutat két korábbi 0-day kampánnyal, melyek amerikai illetve japán célpontokat érintettek. Ez, és a trójai is arra utal, hogy ismét keletről fúj a szél. 

A Microsoft elismerte a probléma létezését, javítás egyelőre nincs. A kockázatok a Flash letiltásával, EMET belövésével, vagy alternatív böngésző használatával csökkenthetők.

Friss: Itt olvasható egy analízis a sérülékenységről, itt látható egy strings kimenet a payloadből, itt pedig a visszafejtett SWF spray.

Címkék: flash internet explorer emet 0-day

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.