(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Анализ уязвимости "нулевого дня" в Microsoft Internet Explorer

Источник: securitylab

Эта неделя выдалась для компании Microsoft сложной. Помимо выпуска 8 плановых бюллетеней безопасности, которые устранили 28 уязвимостей, стало известно еще о 3-х уязвимостях, исправления к которым отсутствуют на настоящий момент.

В этой статье мы рассмотрим полученный нами образец вредоносного кода, эксплуатирующий уязвимость "нулевого дня" (0-day) при обработке XML тегов в Microsoft Internet Explorer.

Речь идет о новой уязвимости, которая не была устранена в вышедшем вчера исправлении MS08-073. Корректная работа эксплоита подтверждена на системах Windows XP  и Windows Server 2003 с установленными последними обновлениями. В связи со спецификой экплойта, вероятность успешной экплуатции составляет 1 к 3.

Каковы последствия?

Поскольку иформация об уязвимости и о методах её экплутации широко известна, высока вероятность использования её в ближайшее время для массового заражения компьютеров. Наиболее вероятными векторами является размещение экплойта на взломанных сайтах, а также массовая рассылка писем со ссылкой на уязвимый код с использованием СПАМа.

В результате возможно массовое заражение компьютеров агентами бот-сетей и руткитами домашних пользователей, а также рабочих станций в корпоративных сетях, использующих Internet Explorer 7.

Как работает эксплоит?

Уязвимость существует из-за переполнения динамической памяти в обработчике XML. Эксплоит, после приведения в порядок динамической памяти, выделяет 159 массивов, содержащих исполняемый код. Перед выполнением кода, эксплоит осуществляет проверку на наличие Internet Explorer 7 и Windows XP  или Windows 2003.

Пример кода, осуществляющего проверку:

Если браузер соответствует этим требованиям, создается XML тег. Затем происходит обращение к Web-серверу, расположенному в Китае, и на систему скачивается файл ko.exe, который начинает установку компонентов руткита.

В данный момент эксплоит скачивает файл ko.exe с IP адреса 59.34.216.222.

По данным VirusTotal файл ko.exe обнаруживается следующими антивирусами:

Антивирус

Версия

Последнее обновление

Результат

AhnLab-V3

2008.12.10.0

2008.12.10

-

AntiVir

7.9.0.43

2008.12.09

TR/Spy.Gen

Authentium

5.1.0.4

2008.12.10

W32/Busky.B.gen!Eldorado

Avast

4.8.1281.0

2008.12.10

Win32:Runner-Z

AVG

8.0.0.199

2008.12.09

-

BitDefender

7.2

2008.12.10

Rootkit.Agent.AIWN

CAT-QuickHeal

10.00

2008.12.09

-

ClamAV

0.94.1

2008.12.10

-

Comodo

713

2008.12.09

-

DrWeb

4.44.0.09170

2008.12.10

DLOADER.Trojan

eSafe

7.0.17.0

2008.12.09

Suspicious File

eTrust-Vet

31.6.6253

2008.12.10

-

Ewido

4.0

2008.12.09

-

F-Prot

4.4.4.56

2008.12.09

W32/Busky.B.gen!Eldorado

F-Secure

8.0.14332.0

2008.12.10

Suspicious:W32/Malware!Gemini

Fortinet

3.117.0.0

2008.12.10

-

GData

19

2008.12.10

Rootkit.Agent.AIWN

Ikarus

T3.1.1.45.0

2008.12.10

Trojan-Dropper.Win32.Agent

K7AntiVirus

7.10.549

2008.12.09

-

Kaspersky

7.0.0.125

2008.12.10

-

McAfee

5459

2008.12.09

Downloader-BLE

McAfee+Artemis

5459

2008.12.09

Generic!Artemis

Microsoft

1.4205

2008.12.09

TrojanDownloader:Win32/Small.gen!AO

NOD32

3680

2008.12.10

probably a variant of Win32/TrojanDownloader.Agent.ONB

Norman

5.80.02

2008.12.09

-

Panda

9.0.0.4

2008.12.09

Suspicious file

PCTools

4.4.2.0

2008.12.09

-

Prevx1

V2

2008.12.10

-

Rising

21.07.20.00

2008.12.10

Trojan.Win32.Edog.bh

SecureWeb-Gateway

6.7.6

2008.12.10

Trojan.Spy.Gen

Sophos

4.36.0

2008.12.10

Mal/Behav-009

Sunbelt

3.1.1832.2

2008.12.01

-

Symantec

10

2008.12.10

Trojan.Dropper

TheHacker

6.3.1.2.182

2008.12.10

-

TrendMicro

8.700.0.1004

2008.12.10

PAK_Generic.001

VBA32

3.12.8.10

2008.12.09

-

ViRobot

2008.12.9.1509

2008.12.09

-

VirusBuster

4.5.11.0

2008.12.09

Trojan.Runner.Gen

Кратко о файле ko.exe


Дополнительные данные о файле  

размер: 33280 байт

MD5...: a4f025331518f4ae96915fc55a4f2d38

SHA1..: f67d4f685cf0c4dc968ef514c99f42e6fc17817b

SHA256: d190115e7d289c3691c0108071504fd197efc7dacc26678219844fc687a383a4

SHA512: 08bf105108ac90f08e110f8adcbb4260b523d5a86020faadf9942f47e2c8fefe
34af705e69fa9a80160a46d9b8f7a8239497b941e81cc16b13b14af1d73298cf

ssdeep: 768:q6UvFrkRmnfYNSxE+WpJhUjkeDRmMK2ftkqt/n4X0Gyr:qNgQfYA2+cJqjvN
t+W/1Gyr

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda's Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x416540
timedatestamp.....: 0x493e7d0a (Tue Dec 09 14:13:30 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7800 7.89 736f42ec6ac402b4124df48ed7b7ed89
.rsrc 0x17000 0x1000 0x600 3.14 2223c904b9b1cb84ee9651276f59a40c

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: atoi
> NETAPI32.dll: Netbios
> PSAPI.DLL: EnumProcessModules
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: SHDeleteKeyA
> USER32.dll: wsprintfA

Каким образом защититься?

В качестве временного решения SecurityLab рекомендует отключить в браузере Active Scripting. Также рекомендуем запретить доступ к IP адресу 59.34.216.222, с которого в настоящий момент происходит загрузка файла.

Использование средств фильтрации содержимого уровня предприятия представляется малоэффективной, поскольку высока вероятность использования методов кодирования экплойта с помощью Javascript. Но пренебрегать этой возможностью не стоит. Рекомендуется связаться с поставщиком используемых средств защиты уровня узла (антивируса, end-point security) для уточнения наличия в продукте методов предотвращения использования данной уязвимости.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 11.12.2008 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год.
Microsoft 365 Apps for business (corporate)
Microsoft 365 Business Basic (corporate)
Microsoft Office 365 Бизнес. Подписка на 1 рабочее место на 1 год
Microsoft Office 365 Персональный 32-bit/x64. 1 ПК/MAC + 1 Планшет + 1 Телефон. Все языки. Подписка на 1 год.
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
Corel DRAW - от идеи до реализации
Краткие описания программ и ссылки на них
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100