12/4/2011
Tym razem zaobserwowane ataki polegają na wysłaniu do ofiary e-maila z zainfekowanym załącznikiem (dokument Worda z osadzonym Flashem).
0day: SWF w DOC (CVE-2011-0611)
Otworzenie zainfekowanego pliku Microsoft Word powoduje zainfekowanie komputera backdoorem Zolpiq i próbę nawiązania połączenia z adresem 123.123.123.123 należącycm do China Unicom Beijing. Jak podaje Mila, odbiorcami e-maili z tym exploitem są wysocy rangą politycy i inni pracownicy rządu U.S.A.
Charakterystyka zainfekowanego pliku:
SHA1: 820699d9999ea3ba07e7f0d0c7f08fe10eae1d2d
Zagrożenie jest obecnie wykrywane przez 2 programy antywirusowe.
Które wersje Flash Playera są podatne na atak?
Powyższy exploit działa na Windows XP i Windows 7 na Office 2007 i omija ASLR. Jak informuje Adobe, dziura znajduje się w Flash Player 10.2.153.1 i wcześniejszych (dla Chrome: Flash Player 10.2.154.25 i wcześniejszych, dla Androida: 10.2.156.12 i wcześniejszych). Adobe Reader X również posiada tę podatność, ale sandbox uniemożliwia exploitowi działanie, więc poprawka zostanie wydana przez Adobe dopiero 14-tego czerwca.
Jak widać, przestępcy znaleźli sposób na sandboksa w Acrobat Readerze. Po prostu osadzają złośliwe .swf w dokumentach Microsoft Office, a nie PDF-ach. Przypomnijmy, że prawie dokładnie miesiąc temu, Adobe informowało o podobnych atakach, z tym, że wtedy exploit na Flasha osadzony był w plikach Microsoft Excel .xsl.
Pozostaje zatem czekać na Microsoft, który miejmy nadzieję, szybko da użytkownikom Offica możliwość wyłączenia osadzania plików Flasha w swoich dokumentach. Tymczasem F-Secure proponuje pewne obejście.
Jeśli dziura znajduje się w najnowszej wersji flasha, a ja muszę otwierać załączniki od obcych ludzi (taka praca) to jak zabezpieczyć system? Uruchamiać całego XP w maszynie wirtualnej, a pliki trzymać na serwerze?
Możesz sobie te DOCe i PDFy wysyłać do Google Docs i tam wyświetlać.
Dla mnie idea google docs jest w ogole poroniona, komu jak komu ale googlom nie ufam. Wole ufac VMce.
Sandboxie twoim wybawieniem.
plywajacy obrazek “Najbliższe szkolenia” po zjechaniu na sam dol powoduje przysloniecie footera – jest za dlugi albo jezdzi po nie tym z-index
pozdrawiam
@Gdynia
Odinstalować flasha.
A co z Open Office (albo Libre Office) ? Też należy uważać?
“…Powyższy exploit działa na (…) Office 2007…”
Wygląda na to że nie.
Już się przerzuciłem na OpenOffice i Foxit Reader, ale ten wyścig zbrojeń staje się męczący…
Gróbo!
Jeżeli chce się ktoś zabezpieczyć przed takimi atakami powinien po prostu uruchamiać nieznane pliki na Linuxie (dystrybucja dowolna-zalaży od upodobań) bootowanego z pendraka lub płyty. Pełne bezpieczeństwo. Chyba że potrafi się instalować w BIOS-ie płyty gł lub karty graficznej ale to już inne bajka. :D
[cyt] Pozostaje zatem czekać na Microsoft, który miejmy nadzieję, szybko da użytkownikom Offica możliwość wyłączenia osadzania plików Flasha w swoich dokumentach. [/cyt] Chyba raczej wyłączenia ich uruchamiania?
“Zagrożenie jest obecnie wykrywane przez 2 programy antywirusowe.”
Szybko poszło, już wykrywane przez 6. Z tych najpopularniejszych to tylko Symantec.
Apropo adresu “123.123.123.123”, od tygodnia monitoruję jeszcze 2 podobne adresy: 200.200.200.230[port: TCP 135] oraz 200.200.200.200[port TCP 445]. Polecam te adresy również przyfilować na swoich sieciach. Zainfekowany komputer wysyła 144 bajty danych na te adresy co pewien losowy okres czasu. Antywirus nie wykrywa żadnych zagrożeń, dlatego czas się przyjrzeć dokładniej tym maszynom.
Ktoś musiał sobie zadać sporo trudu żeby mieć takie IP… i jeszcze żeby je do złych celów wykorzystywać? Dziwne…
Takie IP to raczej szpan, arogancja itp, jest niepraktycznie łatwe do zauważenia dla szperających. Coś w stylu we are 1337, You noob i możecie nam naskoczyć.
“Microsoft Excel .xsl”
Powinno być .xls, nie?
Jak Excel to chyba .xlsx
xls, no chyba że tyczy się to wersji 2007 lub nowszej, tam dodali x-a ze względu na xml-owy format
open office nie zyje – libre office
[…] na internautach tzw. atak drive-by-download z wykorzystaniem załatanej zaledwie kilka dni temu dziury we Flashu. Nie to jest jednak w tym ataku wyjątkowe… Schemat ataku Drive-By Download, fot. […]
hallo!
czy załatali exploidy w 10,2,159,1 ?
Pozdrawiam