W lutowych biuletynach bezpieczeństwa Microsoft opisał krytyczną lukę MS09-002 w przeglądarce Internet Explorer 7 pozwalającą na wykonanie w systemie dowolnego kodu poprzez wyświetlenie specjalnie spreparowanej strony WWW. Równocześnie opublikowany został patch na tą podatność. Tydzień po opublikowaniu poprawki w sieci pojawił się exploit wykorzystujący lukę MS09-002 w IE 7. Co ciekawe, exploit został stworzony na podstawie poprawki wydanej przez Microsoft z wykorzystaniem technik inżynierii wstecznej (ang. reverse engineering). Krążył on początkowo jako dokument programu Word, rozsyłany jako załącznik w spamie. Dokument zawierał kontrolkę ActiveX, która automatycznie pobierała złośliwą stronę WWW. Zawarty na tej stronie kod ściągał i instalował pod postacią biblioteki .dll backdoora, którego główną funkcją było wykradanie informacji z zainfekowanego komputera.

Ostatnio atakujący wykorzystują wspomnianą lukę także w atakach klienckich na przeglądarki WWW. W tym przypadku nie jest wymagana interakcja użytkownika polegająca na otworzeniu załącznika przesłanego w spamie, a jedynie wejście na spreparowaną stronę WWW zawierającą kod expolita. Infekcja następuje automatycznie, bez ingerencji czy wiedzy użytkownika (tzw. drive-by download). Takie strony już pojawiły się w sieci i są wykorzystywane do infekowania niezałatanych systemów złośliwym oprogramowaniem. Exploit nie jest jeszcze powszechnie wykrywany przez silniki antywirusowe – złośliwy kod wykorzystujący lukę MS09-002 umieszczony na jednej z takich stron jest wykrywany tylko przez 9 z 38 antywirusów z serwisu VirusTotal: http://www.virustotal.com/pl/analisis/a3262a0018e7b02e4e647506a8365091.
Kod z tej strony nie był zaciemniony (ang. obfuscated) – w przypadku zastosowania tej techniki współczynnik detekcji jest jeszcze niższy. Dopiero właściwy plik wykonywalny (zawierający konia trojańskiego) ściągany i uruchamiany przez exploita jest wykrywany przez większą liczbę programów antywirusowych: http://www.virustotal.com/analisis/7c7dc6a0fe92a80f53e65b099ff3391f.

Incydenty związane z luką MS09-002 stanowią kolejne potwierdzenie, że ataki na aplikacje klienckie zyskują na popularności. Zamiast aktywnego poszukiwania celów, jak w przypadku propagacji robaków sieciowych, złośliwy kod umieszczany jest na stronach internetowych pasywnie oczekując na odwiedziny niczego niepodejrzewającego internauty. Do detekcji tego rodzaju zagrożeń został stworzony projekt HoneySpider Network – system klienckich honeypotów bazujący na robotach emulujących przeglądarki jak i na rzeczywistych przeglądarkach uruchamianych w wirtualnym środowisku.

Ponieważ kod exploita został publicznie udostępniony, w najbliższym czasie można spodziewać się wzrostu liczby stron wykorzystujących opisywaną lukę do infekowania użytkowników różnymi wariantami złośliwego oprogramowania. Osobom, które jeszcze nie zaktualizowały systemu, rekomendujemy jak najszybszą instalację łatek MS09-002. Warto zaznaczyć, iż błąd ten występuje tylko w przeglądarce Internet Explorer w wersji 7 (IE 6, jak również inne przeglądarki jak Firefox czy Opera są bezpieczne). Nie oznacza to jednak, że użytkownicy alternatywnych przeglądarek są bezpieczni – w przypadku spreparowanego załącznika Word do uruchomienia strony WWW za pomocą kontrolki ActiveX zostanie zawsze użyty Internet Explorer, niezależnie od ustawień domyślnej przeglądarki. Jest więc niezwykle ważne, aby instalować aktualizacje dla wszystkich przeglądarek zainstalowanych w systemie, nawet jeśli nie wszystkie z nich są używane.

Więcej informacji:
http://www.microsoft.com/poland/technet/security/bulletin/ms09-002.mspx
http://isc.sans.org/diary.html?storyid=5884
http://isc.sans.org/diary.html?storyid=5899
http://blogs.zdnet.com/security/?p=2607

Pod koniec zeszłego tygodnia w oprogramowaniu RealPlayer odkryto groźną lukę, dzięki której atakujący może wykonać w atakowanym komputerze dowolny kod (także ściągnąć malware) lub w najlepszym przypadku doprowadzić do lokalnego ataku typu DoS (zawieszenia programów lub systemu).
Błąd dotyczy biblioteki MPAMedia.dll, która przetwarza nazwy playlist. Do kontrolki ActiveX wykorzystywanej w bibliotece ierpplug.dll – poprzez spreparowany kod HTML i zawarty w niej JavaScipt – jako nazwę playlisty przekazać można dowolny ciąg znaków powodujący przepełnienie bufora i w efekcie przejęcie kontroli. Na atak narażeni są użytkownicy przeglądarki Internet Explorer i odtwarzacza multimedialnego RealPlayer w wersjach 10.x oraz najprawdopodobniej również najnowszej 11 Beta.

Pojawiła już się łata, którą można pobrać ze strony producenta. Można także wyłączyć obsługę kontrolek ActiveX w przeglądarce Internet Explorer.

W środę FrSIRT poinformował o wykryciu poważnego błędu, umożliwiającego spowodowanie błędu w przeglądarce, a w najgorszym razie przejęcie całkowitej kontroli nad systemem. Wczoraj wieczorem pojawił się w sieci kod wykorzystujący tę lukę.
Problem dotyczy obsługi jednego z obiektów ActiveX (”DirectAnimation.PathControl”). Do czasu opublikowania odpowiedniej poprawki przez Microsoft zaleca się wyłączenie obsługi aktywnych skryptów z poziomu menu:

Narzędzia -> Opcje Internetowe -> Zabezpieczenia -> Internet ->Poziom niestandardowy -> Obsługa skryptów, Wykonywanie aktywnych skryptów -> Wyłącz

Błąd został potwierdzony w Internet Explorerze 6 na wszystkich systemach Windows oraz 5.01 w systemie Windows 2000 SP4. Nie ma informacji o występowaniu błędu w Internet Explorerze w wersji 7 RC 1.

Warto zwrócić uwagę, że błąd został ujawniony zaledwie jeden dzień po opublikowaniu przez Microsoft comiesięcznych poprawek. Być może jest to nowe zjawisko, poprzez które atakujący starają się wykorzystać cykl publikacji poprawek Microsoft. Mogą w ten sposób zyskać cały miesiąc, w czasie którego niemal wszyscy użytkownicy Windows pozostają zagrożeni.

FrSIRT: Microsoft Internet Explorer “daxctle.ocx” KeyFrame Memory Corruption Vulnerability – http://www.frsirt.com/english/advisories/2006/3593

CNet News.com: Attack code targets new IE hole – http://news.com.com/Attack+code+targets+new+IE+hole/2100-1002_3-6115966.html?part=rss&tag=6115966&subj=news

W Internecie pojawił się blog poświęcony przeglądarkom WWW. Jego autor, HD Moore, obiecuje, że przez cały lipiec będzie codziennie publikował informacje o wykrytych przez siebie lukach. Na początek na tapecie znalazł się Microsoft Internet Explorer.
Dwie opisane 2 lipca luki pozwalają potencjalnie na zdalne wykonanie kodu w systemie poprzez przepełnienie sterty. Obie luki dotyczą najprawdopodobniej wszystkich wersji przeglądarki włącznie z MSIE 7 beta 3.

Microsoft został poinformowany o istnieniu błędów już w marcu. Do czasu opublikowania przez producenta odpowiednich poprawek zaleca się całkowite wyłączenie wykonywania wtyczek ActiveX (Narzędzia->Opcje internetowe->Zabezpieczenia->Poziom niestandardowy) i nieodwiedzanie niezaufanych adresów.

Kolejne luki opisane w blogu znane są od kilku miesięcy i dotyczą przeglądarki Mozilla Firefox (luka poprawiona w wersji 1.5.0.3) oraz dostępu do książki adresowej MS Outlook Express z przeglądarki MSIE (luka poprawiona w jednym z hotfixów).

Browser Fun – http://browserfun.blogspot.com/

US-CERT poinformował o pojawieniu się w sieci kodu wykorzystującego nowe, niezałatane jeszcze luki w przeglądarce Internet Explorer.
Jedna z luk pozwala na zdalne wykonanie dowolnego kodu z przywilejami użytkownika korzystającego z przeglądarki. Aby ją wykorzystać, użytkownik musi zostać nakłoniony do otwarcia odnośnika do pliku udostępnionego poprzez WebDAV lub SMB. Należy więc unikać klikania w odnośniki pochodzące z niepewnych źródeł.

Druga luka pozwala na przeprowadzenie ataku cross-site scripring umożliwiając skryptom z jednej domeny odczytanie danych z innej. Luka ta została szerzej opisana w US-CERT Vulnerability Note VU#883108. Do czasu opublikowania poprawki zaleca się wyłączenie skryptów ActiveX w konfiguracji przeglądarki.

US-CERT: Public Exploit Code for Unpatched Vulnerabilities in Microsoft Internet Explorer –

Secunia opublikowała zalecenie dotyczące nowej luki w przeglądarce Internet Explorer. W sieci dostępny jest już exploit na tę lukę.
Luka znajduje się w sposobie, w jakim IE obsługuje metodę DHTML, createTextRange(). Luka pozwala na zdalne wykonanie kodu, jeśli użytkownik odwiedzi odpowiednio spreparowaną stronę WWW.

Microsoft wypuścił zalecenie, w którym sugeruje wyłączenie aktywnych skryptów (Active Scripting) w przeglądarce, w celu zabezpieczenia się przed potencjalnym atakiem do czasu, aż zostanie udostępniona stosowna łata.