9:03
12/4/2011

Tym razem zaobserwowane ataki polegają na wysłaniu do ofiary e-maila z zainfekowanym załącznikiem (dokument Worda z osadzonym Flashem).

0day: SWF w DOC (CVE-2011-0611)

Otworzenie zainfekowanego pliku Microsoft Word powoduje zainfekowanie komputera backdoorem Zolpiq i próbę nawiązania połączenia z adresem 123.123.123.123 należącycm do China Unicom Beijing. Jak podaje Mila, odbiorcami e-maili z tym exploitem są wysocy rangą politycy i inni pracownicy rządu U.S.A.

Flash 0day Word .doc

Flash 0day, dystrybucja poprzez pliki Microsoft Office Word .doc

Charakterystyka zainfekowanego pliku:

Nazwa: Disentangling Industrial Policy and Competition Policy.doc 
SHA1: 820699d9999ea3ba07e7f0d0c7f08fe10eae1d2d

Zagrożenie jest obecnie wykrywane przez 2 programy antywirusowe.

Które wersje Flash Playera są podatne na atak?

Powyższy exploit działa na Windows XP i Windows 7 na Office 2007 i omija ASLR. Jak informuje Adobe, dziura znajduje się w Flash Player 10.2.153.1 i wcześniejszych (dla Chrome: Flash Player 10.2.154.25 i wcześniejszych, dla Androida: 10.2.156.12 i wcześniejszych). Adobe Reader X również posiada tę podatność, ale sandbox uniemożliwia exploitowi działanie, więc poprawka zostanie wydana przez Adobe dopiero 14-tego czerwca.

Jak widać, przestępcy znaleźli sposób na sandboksa w Acrobat Readerze. Po prostu osadzają złośliwe .swf w dokumentach Microsoft Office, a nie PDF-ach. Przypomnijmy, że prawie dokładnie miesiąc temu, Adobe informowało o podobnych atakach, z tym, że wtedy exploit na Flasha osadzony był w plikach Microsoft Excel .xsl.

Pozostaje zatem czekać na Microsoft, który miejmy nadzieję, szybko da użytkownikom Offica możliwość wyłączenia osadzania plików Flasha w swoich dokumentach. Tymczasem F-Secure proponuje pewne obejście.

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Jeśli dziura znajduje się w najnowszej wersji flasha, a ja muszę otwierać załączniki od obcych ludzi (taka praca) to jak zabezpieczyć system? Uruchamiać całego XP w maszynie wirtualnej, a pliki trzymać na serwerze?

    • Możesz sobie te DOCe i PDFy wysyłać do Google Docs i tam wyświetlać.

    • Dla mnie idea google docs jest w ogole poroniona, komu jak komu ale googlom nie ufam. Wole ufac VMce.

    • Sandboxie twoim wybawieniem.

  2. plywajacy obrazek “Najbliższe szkolenia” po zjechaniu na sam dol powoduje przysloniecie footera – jest za dlugi albo jezdzi po nie tym z-index

    pozdrawiam

  3. @Gdynia
    Odinstalować flasha.

  4. A co z Open Office (albo Libre Office) ? Też należy uważać?

    • “…Powyższy exploit działa na (…) Office 2007…”
      Wygląda na to że nie.
      Już się przerzuciłem na OpenOffice i Foxit Reader, ale ten wyścig zbrojeń staje się męczący…

  5. Gróbo!

  6. Jeżeli chce się ktoś zabezpieczyć przed takimi atakami powinien po prostu uruchamiać nieznane pliki na Linuxie (dystrybucja dowolna-zalaży od upodobań) bootowanego z pendraka lub płyty. Pełne bezpieczeństwo. Chyba że potrafi się instalować w BIOS-ie płyty gł lub karty graficznej ale to już inne bajka. :D

  7. [cyt] Pozostaje zatem czekać na Microsoft, który miejmy nadzieję, szybko da użytkownikom Offica możliwość wyłączenia osadzania plików Flasha w swoich dokumentach. [/cyt] Chyba raczej wyłączenia ich uruchamiania?

  8. “Zagrożenie jest obecnie wykrywane przez 2 programy antywirusowe.”

    Szybko poszło, już wykrywane przez 6. Z tych najpopularniejszych to tylko Symantec.

  9. Apropo adresu “123.123.123.123”, od tygodnia monitoruję jeszcze 2 podobne adresy: 200.200.200.230[port: TCP 135] oraz 200.200.200.200[port TCP 445]. Polecam te adresy również przyfilować na swoich sieciach. Zainfekowany komputer wysyła 144 bajty danych na te adresy co pewien losowy okres czasu. Antywirus nie wykrywa żadnych zagrożeń, dlatego czas się przyjrzeć dokładniej tym maszynom.

    • Ktoś musiał sobie zadać sporo trudu żeby mieć takie IP… i jeszcze żeby je do złych celów wykorzystywać? Dziwne…

    • Takie IP to raczej szpan, arogancja itp, jest niepraktycznie łatwe do zauważenia dla szperających. Coś w stylu we are 1337, You noob i możecie nam naskoczyć.

  10. “Microsoft Excel .xsl”
    Powinno być .xls, nie?

    • Jak Excel to chyba .xlsx

    • xls, no chyba że tyczy się to wersji 2007 lub nowszej, tam dodali x-a ze względu na xml-owy format

  11. open office nie zyje – libre office

  12. […] na internautach tzw. atak drive-by-download z wykorzystaniem załatanej zaledwie kilka dni temu dziury we Flashu. Nie to jest jednak w tym ataku wyjątkowe… Schemat ataku Drive-By Download, fot. […]

  13. hallo!

    czy załatali exploidy w 10,2,159,1 ?

    Pozdrawiam

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.