Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Újabb célzott IE 0-day

2013.09.18. 09:37 | buherator | 7 komment

A Microsoft figyelmeztetést adott ki egy célzott támadások során kihasznált IE9 0-day exploittal kapcsolatban. A támadók az mshtml.dll egy usa-after-free hibáját használják ki tisztán JavaScript-ből, igénybe véve egy ASLR-t nem támogató Office DLL-t, melyet az alábbi egysorossal töltetnek be: 

try { location.href = 'ms-help://' } catch (e) { }

A gyártó FixIt-et adott ki a problémára, valamint javaslatokat tesz az EMET-tel történő védekezésre. Utóbbiakkal kapcsolatban érdemes megjegyezni, hogy a Heap Spray védelem alapértelmezetten nem figyel az heap spray által használt 0x12121212 cím környékére, ezért a teljes mélyreható védelem érdekében Registry matatásra van szükség.  

A posztot frissítem ha további infók látnak napvilágot

Címkék: microsoft internet explorer 0day fixit

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

minek az? 2013.09.18. 12:13:37

Lehet, hogy butaságot kérdezek, de ha már van ASLR, akkor miért nem azzal fordítanak mindent? (még akkor is, ha az ASLR != a bölcsek köve)

DiaDani 2013.09.19. 09:10:50

Kicsit félrevezető, ugyanis maga az exploit nem új, több mint egy éve dokumentálták:
www.greyhathacker.net/?p=585

Illetve erre épülő támadást is jegyeztek már tavaly év végén is:
www.alienvault.com/open-threat-exchange/blog/just-another-water-hole-campaign-using-an-internet-explorer-0day
Megjegyzem máshol is úgy hivatkoznak rá, hogy "new bug in IE".

Lehet kicsit lassú a reakcióidő Microsoftéknál...

DiaDani 2013.09.19. 09:21:10

@minek az?: Szerintem fordítanak (Windowsnál maradva VS 2008 óta default engedélyezve van), csak hosszadalmas folyamat mindent, ahol eredetileg nem támogatott, lecserélni. Sajnos van ahol nem is gondolnak rá, vagy nem veszik elég komolyan de még mindig kerülnek ki új binárisok figyelmetlenségből is. Viszonylag kevés eset van (egyes sw védelmek pl) amikor kimondottan nem lehet használni az aslr-t.

buherator · http://buhera.blog.hu 2013.09.19. 12:18:47

@minek az?: Én valami legacy alkalmazással való kompatibilitási problémát sejtek a háttérben, a kérdés egyébként jó.

@DiaDani: Az IE exploit új, az ASLR-megkerülés technika régi, nem mindegy.

DiaDani 2013.09.19. 15:46:04

@buherator: Értem, köszi. Tehát egyértelműen az IE-n van a hangsúly.
Viszont ha ezt az office dll-t ilyen régóta lehet aslr megkerülésre használni, akkor csak az a kérdés, miért nem kapott a probléma ezen része eddig is nagyobb hangsúlyt? Ugyanis utánaolvastam és a szóban forgó hxds.dll-nek létezik dynamicbase változata (az általam fentebb belinkelt írásban is említik), tehát itt valószínű nem technikai akadály van. Milyen office-t érint, kijött külön erre a problémára frissítés? Ez nem derül ki sem a Microsoft közleményeiből sem máshonnan.

buherator · http://buhera.blog.hu 2013.09.19. 17:08:47

@DiaDani: Ezt leginkább a Microsofttól kellene megkérdezni, hó elején szokott lenni Q&A webinar...

véres horror 2013.10.06. 09:54:23

"egy usa-after-free"
Freud kopogtatott az ajtón egy NSA igazolványt lobogtatva? :)