Poważny błąd w IE

Wykryty błąd dotyczy przeglądarek Internet Explorer w wersji 6,7,8 a zatem dotyczy systemów operacyjnych z rodziny Microsoft:

  • Microsoft Windows XP SP*
  • Microsoft Server 2003 SP*
  • <Microsoft Vista SP1
  • <Microsoft Server 2008 SP1

 

Błąd wykryto po włamaniu na stronę The Council on Foreign Relations (CFR) - http://www.cfr.org/, gdzie atakujący umieścił złośliwy kod JavaScript który przy pomocy Adobe Flash dokonuje exploitacji w pełni zaktualizowanej przeglądarki IE.

Skrypt zawierał ciekawy mechanizm dokonujący exploitacji tylko przy pierwszym odwiedzeniu strony. Mechanizm polegał na zostawieniu na stacji roboczej użytkownika specjalnego ciasteczka (cookies). Poniżej funkcja znajdująca się w skrypcie weryfikująca czy użytkownik odwiedził już daną stronę 


 

W dalszej części procesu infekcji weryfikowany jest wersja przeglądarki IE oraz obecność Adobe Flash:

Kolejnym ciekawym elementem ataku jest mechanizm ataku na konkretnych użytkowników, tzn. posiadających ustawione konkretne języki w przeglądarce (chiński (Chiny i Tajwan), angielski (U.S.), koreański,  japoński lub rosyjski)

   

Pierwszym plikiem uruchamiającym atak jest „today.swf” który to dokonuje następnie pobrania pliku „xsainfo.jpg”, który to jest zakodowaną (xor 0×83) biblioteką DLL

Udana explotacja błędu powoduje próbę nawiązania połączenia przy wykorzystaniu protokołu HTTP z serwerem C&C.

Jak się chronić?

 

Na chwilę obecną brak jest oficjalnej łatki Microsoft-u usuwającej błąd w przeglądarkach IE. Jednakże, MS zaleca zastosowanie oprogramowania EMET (Enhanced Mitigation Experience Toolkit) - pozwalającego na redukcję zagrożenia i zabezpieczenie przed wykonaniem złosliwego kodu. Poniżej przedstawiono sposób konfiguracji oprogramowania EMET:

Configure EMET for Internet Explorer from the EMET user interface

To add iexplore.exe to the list of applications using EMET, perform the following steps:

1.     Click Start, All Programs, Enhanced Mitigation Experience Toolkit, and EMET 3.0.

2.     Click Yes on the UAC prompt, click Configure Apps, then select Add. Browse to the application to be configured in EMET.

3.     On 64-bit versions of Microsoft Windows, the paths to 32-bit and x64 installations of Internet Explorer are:

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

On 32-bit versions of Microsoft Windows, the path to Internet Explorer is

C:\Program Files\Internet Explorer\iexplore.exe

4.     Click OK and exit EMET.

Configure EMET for Internet Explorer from a command line

  • Opt in Internet Explorer to all EMET 3.0 mitigations
  • On 64-bit systems, for 32-bit installations of IE run the following from an elevated command prompt:

"c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files (x86)\Internet Explorer\iexplore.exe"

And on 64-bit systems, for x64 installations of IE run the following from an elevated command prompt:

"c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe"

  • On 32-bit systems, for 32-bit installations of IE run the following from an elevated command prompt:

"c:\Program Files\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe"

  • If you have completed this successfully, the following message displays:

"The changes you have made may require restarting one or more applications"

  • If the application has already been added in EMET, the following message displays:

Error: "c:\Program Files (x86)\Internet Explorer\iexplore.exe" conflicts with existing entry for "C:\Program Files (x86)\Internet Explorer\iexplore.exe"

  • For more information regarding running EMET_Conf.exe, see the command line help by running the following from a command prompt.

On 32-bit systems:

"C:\Program Files\EMET\EMET_Conf.exe" /?

On 64-bit systems:

"C:\Program Files (x86)\EMET\EMET_Conf.exe" /?

Aktualizacja

Firma Microsoft opublikowała Fix dotyczacy powyższego błędu. Informacja dostepna jest pod adresem http://support.microsoft.com/kb/2794220

Ocena: 2.8/5 (4)
A
A+
A++
Drukuj
PDF