Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Év végi IE 0-day szabadon

2012.12.29. 11:43 | buherator | 7 komment

Célzott támadáokhoz használt 0-day exploitot fedeztek fel, melyet a amerikai Külügyi Tanács (Council on Foreign Affairs - független tanácsadó testület) feltölt honlapján keresztül terjesztettek. A támadók gondosan ügyeltek rá, hogy a kártékony kód csak megfelelő nyelvi beállításokkal rendelkező böngészőkben fusson le, valamint igyekeztek kétszer nem ugyanarra a vadra lőni:

var h=navigator.systemLanguage.toLowerCase();
if(h!="zh-cn" && h!="en-us" && h!="zh-tw" && h!="ja" && h!="ru" && h!="ko")
{
  location.href="about:blank";
}

Maga az exploit az Internet Explorer legfeljebb 8-as verzióit támadja az mshtml.dll egy use-after-free sérülékenységén keresztül. A probléma kihasználásához a támadók Flash heap spray-t használnak, de a feladat nyilván más módszerrel is elvégezhető, ezért a Flash kikapcsolása nem segít. Mivel az eredeti dropper a különböző keresők cache-ében megtalálható, nagyon könnyen előfordulhat, hogy az exploitot beemelik a népszerű exploit kitekbe, így kiterjedt támadásokkal számolhatunk. 

Megoldásként egyelőre IE9 vagy 10, vagy alternatív böngésző használata javasolható.

Friss: A meglévő exploittal - és feltehetően a legtöbb leszármazottal szemben is - hatékony megoldás lehet az EMET Mandatory ASLR illetve ROP-mitigációs opcióinak használata. Az exploit a Java 6 által fix helyre betöltött MSVCR71.DLL-t, vagy az Office által használt HXDS.DLL-t használja az ASLR kijátszására, míg az összeállított ROP lánc a megszokott könyvtári függvényeket alkalmazza.

Friss 2: Megjelent a Microsoft FixIt készlete, ami átmeneti megoldást jelent a problémára. A készlet most is a Windows kompatibilitási rétegének felhasználásával, betöltéskor módosítja a sérülékeny DLL-t. Az Exodus Intelligence közben részletes elemzést közölt a problémáról (végre nem kell kínairól fordítani...), valamint a Low Fragmentation Heap memóriaallokációs tulajdonságainak kihasználásával heap-spray nélküli PoC-t is közzétettek.

Friss3: Az Exodus Intelligence elemezte a kiadott FixIt-et, és arra jutottak, hogy az nem nyújt kielégítő védelmet a sérülékenységgel szemben, egy módosított exploittal a FixIt-es rendszerek felett is átvehető az irányítás.

Címkék: internet explorer 0day

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

hrgy 2012.12.29. 23:45:40

"feltört honlapján"

boldii10 2012.12.30. 22:14:54

És van EMET 3.5 Tech Preview, Bluehat award második helyezett ROP védelemmel.
(hiew32 nem szereti a DEP-et, skype is akad ha nagyon beállítjátok)

buherator · http://buhera.blog.hu 2012.12.30. 22:24:45

@boldii10: Kis pontosítás, hogy ROP mitigation AFAIK *csak* a Tech Preview-ban van. A hiew32 az micsoda?

boldii10 2012.12.30. 22:37:57

hiew32: hacker's view, www.youtube.com/watch?v=7ZLgDOUCUBM picit oldschool, de talán még sokan használják apró-cseprő ügyekre.

gszappanos 2012.12.31. 08:26:48

Metasploit-ba mar be is kerult.