Szerző: Bodnár Ádám

2014. február 20. 12:01:00

Gyorsjavítás érkezett az Internet Explorer sérülékenységére

A múlt héten publikált egy javítatlan Internet Explorer sérülékenységről szóló információt a FireEye, amelyet a biztonsági cég szerint célzott támadásokhoz már aktívan kihasználnak. A Microsoft most kiadta a gyorsjavítást, amely a patch érkezésééig tüneti kezelést nyújt.

A FireEye blogbejegyzése szerint elsősorban amerikai katonák és a védelmi minisztérium alkalmazottai ellen indult célzott támadás bukkant fel a U.S. Veterans of Foreign Wars weboldalon, amely az Internet Explorer eddig nem publikált és ennek megfelelően nem is javított sebezhetőségét használja ki. A támadók a weboldal kódjába olyan iframe-et rejtettek, amely az oldal megnyitásakor észrevétlenül betölti a támadó kódot tartalmazó oldalt.

A felfedezett kódot úgy írták meg, hogy megkerülje a Windowsokban jó ideje létező Address Space Layout Randomization és Data Execution Prevention védelmeket is, így lehetséges a memória módosítása és a kód futtatása. A konkrét esetben a támadás a ZxShell nevű backdoort telepítette az áldozatok gépeire, amely egy kiberkémkedési műveletekhez gyakran használt komponens. A FireEye gyanúja szerint a támadók amerikai katonai titkokhoz szerettek volna hozzáférni, ezért fertőzzék meg a veteránok számára létrehozott weboldalt, amelyet aktív katonák is rendszeresen látogatnak.

A sérülékenység use after free típusú, és az mshtml.dll-ben található - a CMarkup objektumot éri el a támadó kód, miután a használt memóriaterület felszabadult. A Microsoft weboldalán olvasható információk alapján a hiba az Internet Explorer 9-et és 10-et érinti, az előbbi verziót azonban egyelőre nem támadják, vagy legalábbis nincs róla információ, az IE10-nek is csak a 32 bites változata áll tűz alatt. A támadás egy JavaScript és Adobe Flash kombinációjával folyik, a Microsoft szerint egyelőre nem tudni olyan módszerről, amivel a kód kitörne az Internet Explorer Protected Mode sandboxból.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A vállalat által kiadott gyorsjavítás mindenesetre "eltéríti az érintett MSHTML API-kat, és a meglévő funkcionalitás újrafelhasználásával helyre rakja a referencia számlálókat, ami a sérülékenységet megszünteti", írja a BuheraBlog, kitérve arra, hogy a módszer memory leaket hagy maga után, amelyet valószínűleg a végleges patchben orvosolnak. A Microsoft oldalán közzétett információk alapján a FixIt telepítése nem igényli a rendszer újraindítását, de rendszergazdai jogosultság kell hozzá.

A cég kitér arra, hogy a támadás ellen teljes védelmet nyújt a frissítés Internet Explorer 11-re (persze ide behelyettesíthető más alternatív böngésző is), illetve az Enhanced Mitigation Experience Toolkit (EMET) telepítése, amelyet meglátva a kód visszavonulót fúj, hogy észrevétlen maradjon.. A támadás elemzése ugyanakkor kimutatta, az EMET enélkül is védelmet nyújt, ha a kód nem szűnne meg működni az EMET-et észlelve.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról