Odpowiedz

Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe

 
Portator
Redaktor

Liczba postów: 10.980
Post: #1
Information 

Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe


Zarówno Microsoft, jak i niezależni eksperci od bezpieczeństwa IT ostrzegają: od kilku dni w Sieci można natrafić na niebezpieczny exploit, wykorzystujący nieznaną wcześniej lukę w Windows i Office do zdalnej instalacji złośliwego oprogramowania na komputerach ofiar. Jak na razie na celowniku cyberprzestępców są przede wszystkim organizacje z Azji Południowo-wschodniej i Bliskiego Wschodu, ale pojawiają się też pierwsze doniesienia o atakach w Europie i Ameryce Północnej.

Wektorem ataku jest spreparowany plik .doc, rozsyłany jako załącznik w e-mailach. Jeśli zostanie on otwarty do edycji lub podglądu, próbuje wykorzystać błąd w obsłudze plików TIFF, aby uruchomić swój ładunek z uprawnieniami zaatakowanego użytkownika. Błąd ten, występujący w komponencie GDI Windows, można wykorzystać w pakietach biurowych od Office 2003 do Office 2010, oraz we wszystkich wspieranych wersjach komunikatora Lync. Użytkownicy Office 2010 korzystający z tego pakietu na nowszych wersjach Windows (od 7 do 8.1) są jednak bezpieczni – dzięki zmianom w sposobie komunikacji z GDI, exploit w tym scenariuszu nie działa.
Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe
Exploit jest wart uwagi choćby ze względu na jego poziom technicznego zaawansowania. Elia Florio z Microsoft Security Response Center wyjaśnia, że twórcom exploita udało się ominąć sprytnie systemowe zabezpieczenia DEP (Data Execution Prevention) i ASLR (Adress Space Layout Randomization). Kod ataku przeprowadza na dużą skalę rozpylanie na stercie za pomocą kontrolek ActiveX, wykorzystując stworzone za pomocą techniki ROP (Return-Oriented Programming) gadżety, by zaalokować wykonywalne strony.

ROP jest jedną z najciekawszych metod na uruchomienie obcego kodu w warunkach aktywnych zabezpieczeń systemowych, jakie do tej pory opracowano. Napastnik stara się w niej przejąć kontrolę nad stosem wywołań, aby zmodyfikować przepływ sterowania działającej już aplikacji, a następnie uruchamiać znalezione w niej sekwencje kodu maszynowego zwane właśnie gadżetami, umieszczane zwykle w podprocedurach współdzielonych bibliotek. Każdy taki gadżet kończy się instrukcją powrotu (stąd nazwa), tak więc napastnik stara się uruchamiać je w określonej kolejności, by dynamicznie „zmontować” z gadżetów pożądany wrogi kod. Dziś cały ten proces jest w wysokim stopniu zautomatyzowany, istnieją narzędzia przeszukujące pliki binarne pod kątem gadżetów, a jak twierdzi badacz Hovav Schacham, dla pliku binarnego o odpowiednich rozmiarach istnieje dość gadżetów, by zapewnić tworzonemu w ten sposób kodowi kompletność Turinga (czyli w praktyce pozwolić na uruchomienie dowolnego kodu). Przykład takiego ataku, stworzonego za pomocą automatycznego generatora gadżetów ROPgadget, możecie obejrzeć na poniższym wideo:



Haifei Li z McAfee, który jako pierwszy poinformował Microsoft o luce w obsłudze plików TIFF, twierdzi, że do tej pory takich ataków, wykorzystujących obiekty ActiveX, na żywo nie widziano. Do tej pory napastnicy korzystali zwykle z Flash Playera – jednak wprowadzenie przez Adobe mechanizmu click-to-play sprawiło, że zmuszeni zostali oni poszukać nowego sposobu. Można się spodziewać, że w przyszłości będzie on stosowany coraz częściej, szczególnie w atakach wymierzonych w środowiska korporacyjne, gdzie kombinacje starszych wersji Windows ze starszymi wersjami Office czy komunikatora Lync jest niemal równie często spotykana, co np. Internet Explorer z Flash Playerem.

Na razie łatki, eliminującej wspomniane zagrożenie, jeszcze nie ma. Szczęśliwie jednak Microsoft przedstawił jednak sposób na uchronienie się przed atakiem – blokuje on renderowanie obrazków TIFF. W warunkach korporacyjnych pomóc może też zainstalowanie zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET).

Za: dobreprogramy.pl

[Obrazek: 2089620800_1406976151.png]
Windows ❼ Forum

06.11.2013 15:33

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz


Wiadomości w tym wątku
Innowacyjny exploit zagraża Windows i Office; napastnicy przesiedli się z Flash Playe - Portator - 06.11.2013 15:33
Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
News Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko Portator 0 888 18.05.2016 04:39
Ostatni post: Portator
News MS Office ma 1,2 mld użytkowników Portator 0 901 02.04.2016 05:11
Ostatni post: Portator
News Flash Player nie działa w przeglądarkach Microsoftu po aktualizacji Windowsa 10 Portator 0 1.185 16.02.2016 07:10
Ostatni post: Portator
News Błąd w jądrze Linuksa zagraża komputerom i urządzeniom z Androidem Portator 0 908 26.01.2016 07:26
Ostatni post: Portator
News Flash Player z ważną aktualizacją, która łata wykorzystywaną lukę Portator 0 856 21.10.2015 05:35
Ostatni post: Portator
News Microsoft udostępnia Office 2016 dla Windows Portator 0 1.190 23.09.2015 05:18
Ostatni post: Portator
« Starszy wątek | Nowszy wątek »

Temat został oceniony na 0 w skali 1-5 gwiazdek.
Zebrano 1 głosów.