9:07
23/12/2010

Po sieci zaczął krążyć exploit na dziurę w przeglądarkach Internet Explorer 6, 7 i 8. Na atak podatne są systemy Windows XP, Windows Vista, Windows 7 oraz Windows Server.

IE Exploit (CSS)

Exploit związany z przetwarzaniem przez IE stylów CSS został początkowo opublikowany na liście Full Disclosure przez WooYuna jako zwykły DoS. Niestety, po kilku modyfikacjach okazało się, że pozwala on również zdalnym atakującym na wstrzyknięcie i wykonanie dowolnego kodu na komputerze ofiary.

Internet Explorer (smutny)

Internet Explorer (smutny)

Szczegóły

Za wszystko odpowiedzialny jest błąd typu use-after-free w mshtml.dll, ujawniający się podczas przetwarzania stron z odnośnikami do zewnętrznych stylów CSS (Cascading Style Sheets) — iinstrukcja @import. Aby paść ofiarą ataku, wystarczy odwiedzić odpowiednio spreparowaną stronę WWW. Exploit omija ASLR i DEP.

Ochrona przed atakiem

Microsoft jeszcze nie opublikował w sprawie powyższej dziury żadnego oświadczenia — nie wiadomo więc kiedy ukaże się patch. Tymczasem, pentesterów ucieszy informacja, że pojawił się już odpowiedni moduł do metasploita

Wszystko wskazuje na to, że w te święta, internetowi przestępcy otrzymali miły prezent na gwiazdkę :>

Aktualizacja
Microsoft zablogował o błędzie i poleca skorzystanie z EMET-a do jego naprawy.

P.S. Do kompletu, na święta, świeży 0day w IIS FTP 7.5, który również początkowo został zgłoszony jako DoS, a okazało się iż jest to buffer overflow.

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. No, ale normalny używa jeszcze explorera ? hę ?

  2. MS powinien w ogóle zrezygnować z IE/silnika Trident, bo są z nim same problemy. A z powodu długiego cyklu wydawniczego funkcjonalność i zgodność ze standardami w IE zawsze jest o kilka lat do tyłu.

    A te dziury… nawet ser szwajcarski ma ich mniej ;-)

  3. @Kuku
    Ja może całkiem normalny nie jestem, ale ostatnio usiłowałem zainstalować IE8 na wine, żeby onet VOD obejrzeć. Myślałem, że to pomoże, bo na linuksie nie ma jakiegoś tam DRM, a IE podobno ma go zaimplementowanego
    Tak tylko gwoli wyjaśnienia

  4. Hmm… Podatne są wszystkie wersje czy tylko do 8? Bo przypomnę jeszcze o istnieniu 9beta ;)

  5. Osobiście nie używam IE ale ostatnio kibicuje MS jeśli chodzi o IE9 zainstalowałem sobie wersje beta i ogólnie jestem mile zaskoczony:) Przy okazji czy IE9 (beta) jest podatny na atak?

  6. Jeżeli atak jest poprzez css, to czy dodatek do ff (którego nazwy nie pamiętam) udający ie(pokazuje stronę tak jak ie) też pozwala na atak?

  7. hm, chyba nie problem sprawdzic ;

  8. @Kuku: ja używam do sprawdzenia poprawności wyświetlania strony (niestety ludzie nadal korzystają z IE 6) oraz do VOD (o czym Archanioł wspomniał).

    @ Archanioł: ja na przykład, by używać jakiś programów windowsowych na Linuchu, które są mi potrzebne w pracy (systemy sprzedaży, wszystkie popularne przeglądarki (łącznie z IE 6,7,8), sprawdzanie oprogramowania, itp.) korzystam z VirtualBox’a. Świetnie się sprawdza, również w przypadku VOD – działa bez problemu. Wine trochę zaczęło mnie denerwować, bo często się coś sypało. Poza tym cały Winshitowy bajzel mam w jednym miejscu i mogę się go pozbyć jednym kliknięciem ;]

  9. @kuku, u mnie w pracy się używa, niestety niektóre systemy są pisane tylko pod IE, jednak zazwyczaj 8, sporadycznie 7, nigdy 6.
    Jeśli zarządzanie intranetem organizacji opiera na SharePoincie, to najwygodniejszym rozwiązaniem jest IE, bo nie trzeba się do każdego serwisu/usługi osobno logować. I tak zwycięża wygoda (bo większości się nie chce drugiej przeglądarki instalować).

    @Aleksandra, swego czasu jedna z sieci, którymi administrowałem wprowadziła politykę zmniejszania przepustowości dla użytkowników z IE6 – ciekawy eksperyment.

  10. Ja korzystając po kolei od IE 5-6 -> Firefox 2.x , 3.x -> Google Srom (Opera chyba nigdy nie przypadnie mi do gustu) to zastanawiam się właśnie nad przesiadkę na IE9beta bo Chrome zaczyna mnie już powoli irytować. Jedyne co mnie powstrzymuje to mała ilość dodatków które są udostępnione dla IE9beta.

  11. Wczoraj widziałem na exploit-db ;] Też pisało że to zwykły DoS ;d
    Ale i tak nie ma czego się bać – używam Firefox’a ;)

  12. @Aleksandra: To dokładnie tak jak ja! Windows uwięziony w wirtualnej maszynie tylko do niezbędnych rzeczy to fajna sprawa. A jak się popsuje, wystarczy tylko przywrócić z backupu plik z wirtualnym HDD. Szkoda że nie ma innego sposobu na testowanie stron w IE (wiem o intnieniu ie4linux ale to nie to samo)

  13. Niestety, po kilku modyfikacjach okazało się, iż jest to buffer overflow
    [potrzebne zrodlo]

    No to use-after-free, czy buffer overflow? Na czym bazuje konkluzja przedstawiona w powyzszym cytacie?

    • Jarek zegarek: Ten 0day na IE to use-after-free. Mój błąd, buffer overflow dotyczył drugiego 0day’a, tego na IIS — dopisywałem to później, w stanie off-by-one ;) i dlatego wylądowało to w złym miejscu. Już poprawione i z cytatem. Dzięki za czujność.

  14. @ Archaniol…

    PCLinuxOS + Firefox + Gecko Media i VOD pod Linuxem smiga…

    @ Kuku… wszyscy Windowsiarze uzywaja… przeciez jakos trzeba firefoxa sciagnac…

    @ Aleksandra… VBox rzadzi pod warunkiem ze masz licencje, odpowiednio mocny sprzet i ochote na zabawe w takie rzeczy. Dual boot rowniez jest opcja zwlaszcza jesli potrzebujesz 3D pod windowsem… Wystarczy trzymac windowsa offline a strony testowac na lokalnym serwerze i wszystko smiga.

    Pozdrawiam

    Andrzej

  15. Zgadzam się z opinią, że Microsoft powinien zrezygnować z rozwijania IE. Jeszcze chyba nie było wersji w której nie byłoby jakiegoś problemu. Niestety, jakoś nie jestem sobie w stanie wyobrazić pudełka z WIndows 7 Firefox On Board, czy aktualizacji z firefoxem.. ;-)

  16. Co ciekawe… Microsoft ostatnio pomaga Mozilli…

    http://www.tomshardware.com/news/firefox-internet-explorer-h.264-html5,11831.html

    Andrzej

    P.s. A Adobe mysli nad Adobe Suite dla Linuxa

    http://www.omgubuntu.co.uk/2010/12/creative-suite-for-linux-an-update/

    ja co prawda zwolennikiem Ubuntu nie jestem ale skoro to zadziala pod Ubuntu to zadziala rowniez pod PCLinuxOS… i ulatwi wielu osobom wiele spraw…

  17. Tak, a co z bsd? :(

  18. @ samu jak to co… BSD jest o jeden krok blizej…

    Swoja droga OpenBSD zaliczylo ostatnio troche negatywnego PR…

    Andrzej

  19. @AndrzejL
    “Co ciekawe… Microsoft ostatnio pomaga Mozilli…”

    M$ wie co robi pomagając FF w obsłudze H.264. Jest o co walczyć i mieć na wyłączność jak największą rzeszę użytkowników. Na szczęście to tylko rozszerzenie, ale nie umniejsza to faktowi, że M$ dał prztyczka w nos FF. Wiadomo, że FF żywi niechęć do tego kodeka, a stara się o zatwierdzenie WebM w W3C.

  20. Tak w nawiązaniu do VOD (na Silverlightcie), o którym tu była mowa kilkakrotnie. Udało mi się to lekko obejść, tak żeby działało w Operze (np. vod.onet.pl).

    http://www.djdeaka.ovh.org/przybek/komp.html#05

    Skrypty JS nie są mojego autorstwa.

  21. @ Aleksandra
    No właśnie VirtualBox – ale u mnie muli i rwie jak zbój, choć mam na nim arcylegalnego XP.
    @przybek
    Może na Operze/Windows działa, ale nie na Ubuntu.
    Stosunek VOD do Ubuntu: http://forum.ubuntu.pl/showthread.php?t=118846
    i wszystko jasne :)

    PS.
    @ Piotr Konieczny
    Świetny serwis
    Wszystkiego najlepszego w Nowym Roku

  22. […] z którym musi sobie poradzić Microsoft. Przypomnijmy, że w kolejce do łatania czekają: 0day w IE oraz błędy znalezione przez lcamtufowego cross_fuzza, także w […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: