Szerző: Bodnár Ádám

2014. február 20. 12:01

Gyorsjavítás érkezett az Internet Explorer sérülékenységére

A múlt héten publikált egy javítatlan Internet Explorer sérülékenységről szóló információt a FireEye, amelyet a biztonsági cég szerint célzott támadásokhoz már aktívan kihasználnak. A Microsoft most kiadta a gyorsjavítást, amely a patch érkezésééig tüneti kezelést nyújt.

A FireEye blogbejegyzése szerint elsősorban amerikai katonák és a védelmi minisztérium alkalmazottai ellen indult célzott támadás bukkant fel a U.S. Veterans of Foreign Wars weboldalon, amely az Internet Explorer eddig nem publikált és ennek megfelelően nem is javított sebezhetőségét használja ki. A támadók a weboldal kódjába olyan iframe-et rejtettek, amely az oldal megnyitásakor észrevétlenül betölti a támadó kódot tartalmazó oldalt.

A felfedezett kódot úgy írták meg, hogy megkerülje a Windowsokban jó ideje létező Address Space Layout Randomization és Data Execution Prevention védelmeket is, így lehetséges a memória módosítása és a kód futtatása. A konkrét esetben a támadás a ZxShell nevű backdoort telepítette az áldozatok gépeire, amely egy kiberkémkedési műveletekhez gyakran használt komponens. A FireEye gyanúja szerint a támadók amerikai katonai titkokhoz szerettek volna hozzáférni, ezért fertőzzék meg a veteránok számára létrehozott weboldalt, amelyet aktív katonák is rendszeresen látogatnak.

A sérülékenység use after free típusú, és az mshtml.dll-ben található - a CMarkup objektumot éri el a támadó kód, miután a használt memóriaterület felszabadult. A Microsoft weboldalán olvasható információk alapján a hiba az Internet Explorer 9-et és 10-et érinti, az előbbi verziót azonban egyelőre nem támadják, vagy legalábbis nincs róla információ, az IE10-nek is csak a 32 bites változata áll tűz alatt. A támadás egy JavaScript és Adobe Flash kombinációjával folyik, a Microsoft szerint egyelőre nem tudni olyan módszerről, amivel a kód kitörne az Internet Explorer Protected Mode sandboxból.

Rust? Kubernetes? FinOps? Melyiket válasszam?

Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.

Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.

A vállalat által kiadott gyorsjavítás mindenesetre "eltéríti az érintett MSHTML API-kat, és a meglévő funkcionalitás újrafelhasználásával helyre rakja a referencia számlálókat, ami a sérülékenységet megszünteti", írja a BuheraBlog, kitérve arra, hogy a módszer memory leaket hagy maga után, amelyet valószínűleg a végleges patchben orvosolnak. A Microsoft oldalán közzétett információk alapján a FixIt telepítése nem igényli a rendszer újraindítását, de rendszergazdai jogosultság kell hozzá.

A cég kitér arra, hogy a támadás ellen teljes védelmet nyújt a frissítés Internet Explorer 11-re (persze ide behelyettesíthető más alternatív böngésző is), illetve az Enhanced Mitigation Experience Toolkit (EMET) telepítése, amelyet meglátva a kód visszavonulót fúj, hogy észrevétlen maradjon.. A támadás elemzése ugyanakkor kimutatta, az EMET enélkül is védelmet nyújt, ha a kód nem szűnne meg működni az EMET-et észlelve.

a címlapról