Aurora IE Exploit/CVE-2010-0249

IE BUG Logo
מדובר באקספלויט שהתפרסם לפני כשבוע, ב-14 לינואר. 
בעזרת אקספלויט אשר מכונה "Aurora" האקרים סינים הצליחו להשיג גישה לרשתות של 29 אירגונים גדולים בעולם
ובינהם אפשר למצוא את Juniper, Adobe ולא אחרת מאשר Google.

בעקבות הפרשה, המשרד לענייני אבטחת מידע בגרמניה המליץ לאזרחי המדינה לא להשתמש בדפדפן של חברת
מיקרוסופט אלה להשתמש בדפדפנים חלופיים עד שתפורסם תיקון לבעיה. [המקור בגרמנית]

האקספלויט מנצל באג מסוג Use/Read After Free (מוגדר כ-Invalid Pointer References) בספריה שמפרשת
את קוד ה-Javascript/HTML (נמצאת ב-mshtml.dll) בדפדפני Internet Explorer של מיקרוסופט בגירסאות:
  • Internet Explorer 6 (Service Pack 1 on Microsoft Windows 2000 Service Pack 4)
  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8 (on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2)

 
תיאור החולשה כדברי מיקרוסופט:

"The vulnerability exists as an invalid pointer reference within Internet Explorer.
It is possible under certain conditions for the invalid pointer to be accessed after
an object is deleted. In a specially-crafted attack, in attempting to access
a freed object, Internet Explorer can be caused to allow remote code execution"

 
למרות שהקוד המקורי שהכה גלים שבוע שעבר לא מהווה כשל אבטחה קריטי לדפדפנים מעל IE6, שילובו עם חולשה נוספת
(אשר נוצלה כבר בעבר) מאפשר לו לעקוף את מנגנון ה-DEP ולהשפיע גם על הדפדפנים IE7 ו-IE8. לכן המלצת מומחים
מ-VUPEN הינה לבטל את מנוע ה-JavaScript בדפדפן.

כמובן שרגע לאחר פרסום קוד האקספלויט ב-Wepawet, החבר'ה מ-Metasploit שכתבו לו מודול למערכת שלהם
Remote Execution ב-IE6 ו-Crash בגרסאות 7 ו-8.

פרזנטציה של המתקפה במודול האקספלויט דרך Metasploit בכדי להריץ Meterpreter על הקורבן והצגת וקטור
התקיפה אפשר למצוא בבלוג של Praetorian Prefect.

התגוננות:
נכון להיום (חמישי) אין טלאי רשמי מחברת מיקרוסופט לתיקון החולשה. אך החבר'ה מ-DarkReading לא ישבו ללא
מעש ושחררו את המאמר: Seven Steps For Protecting Your Organization From Aurora

השלבים השעקריים בו הם:
  • עדכון הדפדפן ל-IE8.
  • ב-Vista ומעלה: הרצתו תחת Protected Mode.
  • הפעלת מנגנון ה-DEP (שרץ באופן דיפולטיבי בדפדפן השמיני מ-XP SP3 ומעלה).
  • וכמובן- להגביר את מודעות העובדים באירגון.
 
מיקרוסופט מצידה פרסמה שמחר (שישי) בשעה 1:00 בלילה (שעון קנדה) יפורסם הטלאי. 
דבר נוסף שחשוב לדעת על מיקרוסופט הוא שהחברה ידעה ע"י החולשה הזאת כמעט ארבע חודשים לפני היא נוצלה ע"י
הסינים- מרון סלם, מחברת BugSec (הבחור שכתב לנו את המאמר על SQL InjectionCLR Integration בגליון הרביעי)
גילה את החשיפה וביחד עם Trancer כתב לה מימוש PoC ודיווח עליה למיקרוסופט.
 
וכן, אנחנו יודעים שכל זה התרחש לפני כשבוע, אבל לא ראינו איזכורים לכך באינטרנט הישראלי. אז זה נחשב :)


תגובות על 'Aurora IE Exploit/CVE-2010-0249':



#1 

m1ch43l1014 (אורח):
תודה שוב על הסיקור הנפלא
21.01.2010 18:24:20

#2 

l3D:
מדהים איך אחרי שנים פתאום מגלים כל מיני חולשות במוצרים של מיקרוסופט. קודם ה-CVE-2010-0018 ועכשיו זה :S
21.01.2010 18:47:01

#3 

cp77fk4r:
בבקשה, וכן, אתה צודק, אבל לפעמים אלה חולשות שנובעות דבר-מתוך-דבר.
21.01.2010 21:20:38

#4 

AriFerrari (אורח):
"לכן המלצת מומחים
מ-VUPEN הינה לבטל את מנוע ה-JavaScript בדפדפן."

וההמלצה שלי זה לעבור לפיירפוקס...

אני מאמין ש90% מהגולשים פה משתמשים בדפדפן שהוא לא IE אז תנסו לשכנע מכרים שישתמשו בדפדפנים אחרים ולא Ishit
22.01.2010 13:42:30

#5 

(אורח):
פיירפוקס הוא דפדפן טוב בעיקר החדש שיצא 3.6 ...הבעיה היחידה שלו שהשועל בולע זכרון...
22.01.2010 14:02:11

#6 

UnderWarrior:
AriFerrari, ההודעה שלך סיקרנה אותי והחלטתי לבדוק במערכת הסטטסיטיקה שלנו את הנתונים האמיתיים. לצערי טעית - 17.03% מהגולשים באתר עדיין משתמשים ב-IE.

כשאני חושב על זה, רגע...... *מבט מרושע וזומם*
22.01.2010 14:18:03

#7 

cp77fk4r:
AriFerrari - כשכתבת את זה:
"אז תנסו לשכנע מכרים שישתמשו בדפדפנים אחרים ולא Ishit" - אל מי דיברת?

אנחנו לא משכנעים אותך לעשות שום דבר.

וניר- שתף אותי במזימות ש'ך!
22.01.2010 15:43:47

#8 

UnderWarrior:
אפיק, אל תדאג, אני אארגן הכל. הכל יהיה בסדר.

הכל יהיה בסזר....
:צחוק מרושע מתגלגל ברקע:
23.01.2010 08:37:04

#9 

cp77fk4r:
אתה דפוק בראש ניר!
ומי שרוצה- לינק לטלאי של מיקרוסופט:
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx

עוד חיים של 0day נגמרו...
23.01.2010 10:43:22

#10 

Ender:
מה עם קצת קרדיט ל:
Meron Sellem of BugSec for reporting the HTML Object Memory Corruption Vulnerability (CVE-2010-0249)

(מתוך http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx)
24.01.2010 14:23:52

#11 

cp77fk4r:
בטח, עוד בשישי או אתמול שלחתי לו מייל אם בא לו שנפרסם את זה כאן, הוא עוד לא הגיב..
24.01.2010 17:04:37

#12 

אורח (אורח):
אממ...למה כשנכנסתי לקישור של הסיקור האנטי וירוס קפץ 4 פעמים לפחות והתריע על אותו EXPLOIT שבעצם מסוקר פה ? ><
31.01.2010 17:27:44

#13 

cp77fk4r:
בסיקור יש גם חלק מהקוד של האקספלויט ששימש למתקפה, יכול להיות שהאנטי וירוס זיהה אותו לפי חתימה בעמוד או משהו :)
יש לך Avast?
01.02.2010 10:38:20



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.