Krytyczna luka w Internet Explorer 7 już wykorzystywana!
W lutowych biuletynach bezpieczeństwa Microsoft opisał krytyczną lukę MS09-002 w przeglądarce Internet Explorer 7 pozwalającą na wykonanie w systemie dowolnego kodu poprzez wyświetlenie specjalnie spreparowanej strony WWW. Równocześnie opublikowany został patch na tą podatność. Tydzień po opublikowaniu poprawki w sieci pojawił się exploit wykorzystujący lukę MS09-002 w IE 7. Co ciekawe, exploit został stworzony na podstawie poprawki wydanej przez Microsoft z wykorzystaniem technik inżynierii wstecznej (ang. reverse engineering). Krążył on początkowo jako dokument programu Word, rozsyłany jako załącznik w spamie. Dokument zawierał kontrolkę ActiveX, która automatycznie pobierała złośliwą stronę WWW. Zawarty na tej stronie kod ściągał i instalował pod postacią biblioteki .dll backdoora, którego główną funkcją było wykradanie informacji z zainfekowanego komputera.
Ostatnio atakujący wykorzystują wspomnianą lukę także w atakach klienckich na przeglądarki WWW. W tym przypadku nie jest wymagana interakcja użytkownika polegająca na otworzeniu załącznika przesłanego w spamie, a jedynie wejście na spreparowaną stronę WWW zawierającą kod expolita. Infekcja następuje automatycznie, bez ingerencji czy wiedzy użytkownika (tzw. drive-by download). Takie strony już pojawiły się w sieci i są wykorzystywane do infekowania niezałatanych systemów złośliwym oprogramowaniem. Exploit nie jest jeszcze powszechnie wykrywany przez silniki antywirusowe – złośliwy kod wykorzystujący lukę MS09-002 umieszczony na jednej z takich stron jest wykrywany tylko przez 9 z 38 antywirusów z serwisu VirusTotal: http://www.virustotal.com/pl/analisis/a3262a0018e7b02e4e647506a8365091.
Kod z tej strony nie był zaciemniony (ang. obfuscated) – w przypadku zastosowania tej techniki współczynnik detekcji jest jeszcze niższy. Dopiero właściwy plik wykonywalny (zawierający konia trojańskiego) ściągany i uruchamiany przez exploita jest wykrywany przez większą liczbę programów antywirusowych: http://www.virustotal.com/analisis/7c7dc6a0fe92a80f53e65b099ff3391f.
Incydenty związane z luką MS09-002 stanowią kolejne potwierdzenie, że ataki na aplikacje klienckie zyskują na popularności. Zamiast aktywnego poszukiwania celów, jak w przypadku propagacji robaków sieciowych, złośliwy kod umieszczany jest na stronach internetowych pasywnie oczekując na odwiedziny niczego niepodejrzewającego internauty. Do detekcji tego rodzaju zagrożeń został stworzony projekt HoneySpider Network – system klienckich honeypotów bazujący na robotach emulujących przeglądarki jak i na rzeczywistych przeglądarkach uruchamianych w wirtualnym środowisku.
Ponieważ kod exploita został publicznie udostępniony, w najbliższym czasie można spodziewać się wzrostu liczby stron wykorzystujących opisywaną lukę do infekowania użytkowników różnymi wariantami złośliwego oprogramowania. Osobom, które jeszcze nie zaktualizowały systemu, rekomendujemy jak najszybszą instalację łatek MS09-002. Warto zaznaczyć, iż błąd ten występuje tylko w przeglądarce Internet Explorer w wersji 7 (IE 6, jak również inne przeglądarki jak Firefox czy Opera są bezpieczne). Nie oznacza to jednak, że użytkownicy alternatywnych przeglądarek są bezpieczni – w przypadku spreparowanego załącznika Word do uruchomienia strony WWW za pomocą kontrolki ActiveX zostanie zawsze użyty Internet Explorer, niezależnie od ustawień domyślnej przeglądarki. Jest więc niezwykle ważne, aby instalować aktualizacje dla wszystkich przeglądarek zainstalowanych w systemie, nawet jeśli nie wszystkie z nich są używane.
Więcej informacji:
http://www.microsoft.com/poland/technet/security/bulletin/ms09-002.mspx
http://isc.sans.org/diary.html?storyid=5884
http://isc.sans.org/diary.html?storyid=5899
http://blogs.zdnet.com/security/?p=2607
Tags: ActiveX, exploit, HoneySpider, HSN, internet explorer, luka, malicious websites, Microsoft, patch, złośliwe strony
