Аналіз вразливості “нульового дня” в Microsoft Internet Explorer

Цей тиждень видався для компанії Microsoft складної. Крім випуску 8 планових бюлетенів безпеки, які усунули 28 вразливостей, стало відомо ще про 3-х уязвимостях, виправлення до яких відсутні на даний момент.


У цій статті ми розглянемо отриманий нами зразок шкідливого коду, який експлуатує уразливість “нульового дня” (0-day) при обробці XML тегів в Microsoft Internet Explorer.


Мова йде про нову уразливість, яка не була усунена в що вийшов вчора виправленні MS08-073. Коректна робота експлоїта підтверджена на системах Windows XP і Windows Server 2003 з встановленими останніми оновленнями. У зв’язку зі специфікою екплойта, вірогідність успішної екплуатціі становить 1 до 3.


Які наслідки?


Оскільки іформацію про уразливість і про методи її екплутаціі широко відома, висока ймовірність використання її найближчим часом для масового зараження комп’ютерів. Найбільш вірогідними векторами є розміщення екплойта на зламаних сайтах, а також масова розсилка листів з посиланням на уразливий код з використанням СПАМу.


В результаті можливе масове зараження комп’ютерів агентами бот-мереж і руткитами домашніх користувачів, а також робочих станцій в корпоративних мережах, які використовують Internet Explorer 7.


Як працює експлоїт?


Уразливість існує через переповнення динамічної пам’яті в обробнику XML. Експлоїт, після приведення в порядок динамічної пам’яті, виділяє 159 масивів, що містять виконуваний код. Перед виконанням коду, експлоїт здійснює перевірку на наявність Internet Explorer 7 і Windows XP або Windows 2003.


Приклад коду, що здійснює перевірку:



Якщо браузер відповідає цим вимогам, створюється XML тег. Потім відбувається звернення до Web-серверу, розташованому в Китаї, і на систему скачується файл ko.exe, який починає установку компонентів руткіта.


У даний момент експлоїт завантажує файл ko.exe з IP адреси 59.34.216.222.


За даними VirusTotal файл ko.exe виявляється наступними антивірусами:







































































































































































































Антивірус

Версія

Останнє оновлення

Результат


AhnLab-V3


2008.12.10.0


2008.12.10



AntiVir


7.9.0.43


2008.12.09


TR/Spy.Gen


Authentium


5.1.0.4


2008.12.10


W32/Busky.B.gen!Eldorado


Avast


4.8.1281.0


2008.12.10


Win32:Runner-Z


AVG


8.0.0.199


2008.12.09



BitDefender


7.2


2008.12.10


Rootkit.Agent.AIWN


CAT-QuickHeal


10.00


2008.12.09



ClamAV


0.94.1


2008.12.10



Comodo


713


2008.12.09



DrWeb


4.44.0.09170


2008.12.10


DLOADER.Trojan


eSafe


7.0.17.0


2008.12.09


Suspicious File


eTrust-Vet


31.6.6253


2008.12.10



Ewido


4.0


2008.12.09



F-Prot


4.4.4.56


2008.12.09


W32/Busky.B.gen!Eldorado


F-Secure


8.0.14332.0


2008.12.10


Suspicious:W32/Malware!Gemini


Fortinet


3.117.0.0


2008.12.10



GData


19


2008.12.10


Rootkit.Agent.AIWN


Ikarus


T3.1.1.45.0


2008.12.10


Trojan-Dropper.Win32.Agent


K7AntiVirus


7.10.549


2008.12.09



Kaspersky


7.0.0.125


2008.12.10



McAfee


5459


2008.12.09


Downloader-BLE


McAfee+Artemis


5459


2008.12.09


Generic!Artemis


Microsoft


1.4205


2008.12.09


TrojanDownloader:Win32/Small.gen!AO


NOD32


3680


2008.12.10


probably a variant of Win32/TrojanDownloader.Agent.ONB


Norman


5.80.02


2008.12.09



Panda


9.0.0.4


2008.12.09


Suspicious file


PCTools


4.4.2.0


2008.12.09



Prevx1


V2


2008.12.10



Rising


21.07.20.00


2008.12.10


Trojan.Win32.Edog.bh


SecureWeb-Gateway


6.7.6


2008.12.10


Trojan.Spy.Gen


Sophos


4.36.0


2008.12.10


Mal/Behav-009


Sunbelt


3.1.1832.2


2008.12.01



Symantec


10


2008.12.10


Trojan.Dropper


TheHacker


6.3.1.2.182


2008.12.10



TrendMicro


8.700.0.1004


2008.12.10


PAK_Generic.001


VBA32


3.12.8.10


2008.12.09



ViRobot


2008.12.9.1509


2008.12.09



VirusBuster


4.5.11.0


2008.12.09


Trojan.Runner.Gen


Коротко про файл ko.exe

























Додаткові дані про файл  

розмір: 33280 байт


MD5…: a4f025331518f4ae96915fc55a4f2d38


SHA1..: f67d4f685cf0c4dc968ef514c99f42e6fc17817b


SHA256: d190115e7d289c3691c0108071504fd197efc7dacc26678219844fc687a383a4


SHA512: 08bf105108ac90f08e110f8adcbb4260b523d5a86020faadf9942f47e2c8fefe
34af705e69fa9a80160a46d9b8f7a8239497b941e81cc16b13b14af1d73298cf


ssdeep: 768:q6UvFrkRmnfYNSxE+WpJhUjkeDRmMK2ftkqt/n4X0Gyr:qNgQfYA2+cJqjvN
t+W/1Gyr


PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser


TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda”s Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)


PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x416540
timedatestamp…..: 0x493e7d0a (Tue Dec 09 14:13:30 2008)
machinetype…….: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7800 7.89 736f42ec6ac402b4124df48ed7b7ed89
.rsrc 0x17000 0x1000 0x600 3.14 2223c904b9b1cb84ee9651276f59a40c

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: atoi
> NETAPI32.dll: Netbios
> PSAPI.DLL: EnumProcessModules
> SHELL32.dll: ShellExecuteA
> SHLWAPI.dll: SHDeleteKeyA
> USER32.dll: wsprintfA


Яким чином захиститися?


В якості тимчасового рішення SecurityLab рекомендує відключити в браузері Active Scripting. Також рекомендуємо заборонити доступ до IP адресою 59.34.216.222, з якого в даний момент відбувається завантаження файлу.


Використання засобів фільтрації вмісту рівня підприємства представляється малоефективною, оскільки висока ймовірність використання методів кодування екплойта за допомогою Javascript. Але нехтувати цією можливістю не варто. Рекомендується зв’язатися з постачальником використовуваних засобів захисту рівня вузла (антивіруса, end-point security) для уточнення наявності в продукті методів запобігання використанню даної уразливості.


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*