A Microsoft figyelmeztetést adott ki egy célzott támadások során kihasznált IE9 0-day exploittal kapcsolatban. A támadók az mshtml.dll egy usa-after-free hibáját használják ki tisztán JavaScript-ből, igénybe véve egy ASLR-t nem támogató Office DLL-t, melyet az alábbi egysorossal töltetnek be:
try { location.href = 'ms-help://' } catch (e) { }
A gyártó FixIt-et adott ki a problémára, valamint javaslatokat tesz az EMET-tel történő védekezésre. Utóbbiakkal kapcsolatban érdemes megjegyezni, hogy a Heap Spray védelem alapértelmezetten nem figyel az heap spray által használt 0x12121212 cím környékére, ezért a teljes mélyreható védelem érdekében Registry matatásra van szükség.
A posztot frissítem ha további infók látnak napvilágot
minek az? 2013.09.18. 12:13:37
DiaDani 2013.09.19. 09:10:50
www.greyhathacker.net/?p=585
Illetve erre épülő támadást is jegyeztek már tavaly év végén is:
www.alienvault.com/open-threat-exchange/blog/just-another-water-hole-campaign-using-an-internet-explorer-0day
Megjegyzem máshol is úgy hivatkoznak rá, hogy "new bug in IE".
Lehet kicsit lassú a reakcióidő Microsoftéknál...
DiaDani 2013.09.19. 09:21:10
buherator · http://buhera.blog.hu 2013.09.19. 12:18:47
@DiaDani: Az IE exploit új, az ASLR-megkerülés technika régi, nem mindegy.
DiaDani 2013.09.19. 15:46:04
Viszont ha ezt az office dll-t ilyen régóta lehet aslr megkerülésre használni, akkor csak az a kérdés, miért nem kapott a probléma ezen része eddig is nagyobb hangsúlyt? Ugyanis utánaolvastam és a szóban forgó hxds.dll-nek létezik dynamicbase változata (az általam fentebb belinkelt írásban is említik), tehát itt valószínű nem technikai akadály van. Milyen office-t érint, kijött külön erre a problémára frissítés? Ez nem derül ki sem a Microsoft közleményeiből sem máshonnan.
buherator · http://buhera.blog.hu 2013.09.19. 17:08:47
véres horror 2013.10.06. 09:54:23
Freud kopogtatott az ajtón egy NSA igazolványt lobogtatva? :)