Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe |
|
Portator Redaktor
Liczba postów: 10.980
|
Post: #1
Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash PlayeZarówno Microsoft, jak i niezależni eksperci od bezpieczeństwa IT ostrzegają: od kilku dni w Sieci można natrafić na niebezpieczny exploit, wykorzystujący nieznaną wcześniej lukę w Windows i Office do zdalnej instalacji złośliwego oprogramowania na komputerach ofiar. Jak na razie na celowniku cyberprzestępców są przede wszystkim organizacje z Azji Południowo-wschodniej i Bliskiego Wschodu, ale pojawiają się też pierwsze doniesienia o atakach w Europie i Ameryce Północnej.
Wektorem ataku jest spreparowany plik .doc, rozsyłany jako załącznik w e-mailach. Jeśli zostanie on otwarty do edycji lub podglądu, próbuje wykorzystać błąd w obsłudze plików TIFF, aby uruchomić swój ładunek z uprawnieniami zaatakowanego użytkownika. Błąd ten, występujący w komponencie GDI Windows, można wykorzystać w pakietach biurowych od Office 2003 do Office 2010, oraz we wszystkich wspieranych wersjach komunikatora Lync. Użytkownicy Office 2010 korzystający z tego pakietu na nowszych wersjach Windows (od 7 do 8.1) są jednak bezpieczni – dzięki zmianom w sposobie komunikacji z GDI, exploit w tym scenariuszu nie działa. Exploit jest wart uwagi choćby ze względu na jego poziom technicznego zaawansowania. Elia Florio z Microsoft Security Response Center wyjaśnia, że twórcom exploita udało się ominąć sprytnie systemowe zabezpieczenia DEP (Data Execution Prevention) i ASLR (Adress Space Layout Randomization). Kod ataku przeprowadza na dużą skalę rozpylanie na stercie za pomocą kontrolek ActiveX, wykorzystując stworzone za pomocą techniki ROP (Return-Oriented Programming) gadżety, by zaalokować wykonywalne strony. ROP jest jedną z najciekawszych metod na uruchomienie obcego kodu w warunkach aktywnych zabezpieczeń systemowych, jakie do tej pory opracowano. Napastnik stara się w niej przejąć kontrolę nad stosem wywołań, aby zmodyfikować przepływ sterowania działającej już aplikacji, a następnie uruchamiać znalezione w niej sekwencje kodu maszynowego zwane właśnie gadżetami, umieszczane zwykle w podprocedurach współdzielonych bibliotek. Każdy taki gadżet kończy się instrukcją powrotu (stąd nazwa), tak więc napastnik stara się uruchamiać je w określonej kolejności, by dynamicznie „zmontować” z gadżetów pożądany wrogi kod. Dziś cały ten proces jest w wysokim stopniu zautomatyzowany, istnieją narzędzia przeszukujące pliki binarne pod kątem gadżetów, a jak twierdzi badacz Hovav Schacham, dla pliku binarnego o odpowiednich rozmiarach istnieje dość gadżetów, by zapewnić tworzonemu w ten sposób kodowi kompletność Turinga (czyli w praktyce pozwolić na uruchomienie dowolnego kodu). Przykład takiego ataku, stworzonego za pomocą automatycznego generatora gadżetów ROPgadget, możecie obejrzeć na poniższym wideo: Haifei Li z McAfee, który jako pierwszy poinformował Microsoft o luce w obsłudze plików TIFF, twierdzi, że do tej pory takich ataków, wykorzystujących obiekty ActiveX, na żywo nie widziano. Do tej pory napastnicy korzystali zwykle z Flash Playera – jednak wprowadzenie przez Adobe mechanizmu click-to-play sprawiło, że zmuszeni zostali oni poszukać nowego sposobu. Można się spodziewać, że w przyszłości będzie on stosowany coraz częściej, szczególnie w atakach wymierzonych w środowiska korporacyjne, gdzie kombinacje starszych wersji Windows ze starszymi wersjami Office czy komunikatora Lync jest niemal równie często spotykana, co np. Internet Explorer z Flash Playerem. Na razie łatki, eliminującej wspomniane zagrożenie, jeszcze nie ma. Szczęśliwie jednak Microsoft przedstawił jednak sposób na uchronienie się przed atakiem – blokuje on renderowanie obrazków TIFF. W warunkach korporacyjnych pomóc może też zainstalowanie zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET). Za: dobreprogramy.pl Windows ❼ Forum 06.11.2013 15:33 |
Wiadomości w tym wątku |
Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe - Portator - 06.11.2013 15:33
|
Podobne wątki | ||||
Wątek: | Autor | Odpowiedzi: | Wyświetleń: | Ostatni post |
News Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko | Portator | 0 | 888 |
18.05.2016 04:39 Ostatni post: Portator |
News MS Office ma 1,2 mld użytkowników | Portator | 0 | 901 |
02.04.2016 05:11 Ostatni post: Portator |
News Flash Player nie działa w przeglądarkach Microsoftu po aktualizacji Windowsa 10 | Portator | 0 | 1.185 |
16.02.2016 07:10 Ostatni post: Portator |
News Błąd w jądrze Linuksa zagraża komputerom i urządzeniom z Androidem | Portator | 0 | 908 |
26.01.2016 07:26 Ostatni post: Portator |
News Flash Player z ważną aktualizacją, która łata wykorzystywaną lukę | Portator | 0 | 856 |
21.10.2015 05:35 Ostatni post: Portator |
News Microsoft udostępnia Office 2016 dla Windows | Portator | 0 | 1.190 |
23.09.2015 05:18 Ostatni post: Portator |
« Starszy wątek | Nowszy wątek »
Autor: Portator Temat został oceniony na 0 w skali 1-5 gwiazdek. Zebrano 1 głosów. |