22:14
21/6/2012

Microsoft poinformował o istnieniu dziury (CVE-2012-1889) MSXML Code Services pozwalającej na zdalne wykonanie kodu. Dziura, wykryta przez Google Security Team i Qihoo 360 Security Center, dotyczy wszystkich wspieranych wersji Windowsa oraz wszystkich wspieranych wersji Microsoft Office 2003 i 2007.

Gdzie MSXML jest dziurawy?

Podatność występuje, gdy MSXML próbuje odwołać się do obiektów w pamięci, które nie były inicjowane. Może to spowodować modyfikację pamięci, co w konsekwencji umożliwi wykonanie dowolnego kodu napastnika z uprawnieniami zalogowanego użytkownika.

zero-day-internet-explorer

0day w IE, fot. siliconangle.com

Luka ta jest aktywnie wykorzystywana przez przestępców; aktualny wektor ataku to drive-by install z wykorzystaniem przeglądarki IE — jedyne co musi zrobić ofiara, to wejść przy pomocy IE na odpowiednio spreparowaną stronę WWW.

Exploit już dostępny

Expolit dla Metasploita jest już dostępny. Jak na razie działa on tylko przeciwko IE6 i IE7 na Windows XP SP3.

W internecie odnotowano też pierwsze przypadki infekowania internautów przy pomocy exploita — we wtorek na stronie firmy medycznej, wczoraj na stronie firmy lotniczej — Sophos podejrzewa, że atakującym mogło de facto chodzić o inne firmy, ponieważ stronę z częściami samolotów mogą odwiedzać mogą np. osoby związane z przemysłem zbrojeniowym i to w nie wycelowany mógł być atak.

Pojawiają się również głosy, że dosyć tajemnicze ostrzeżenia GMaila o “sponsorowanych przez rząd atakach” mogą być związane właśnie z tą podatnością (CVE-2012-1889) — Google przekazał Microsoftowi informacje o dziurze już 30 maja, a ostrzeżenia pojawiły się 6. czerwca.

Tymczasowe obejścia problemu

Póki co nie istnieje patch łatający podatność, mamy więc do czynienia z podatnością 0day. Microsoft opublikował rozwiązania, które powinny chronić użytkowników “tak dobrze jak to możliwe”:

    1) Zainstalować “fix it”, który modyfikuje dll MSXML tak by przy starcie IE inicjował odpowiednie zmienne, przez co exploit nie powinien zadziałać (więcej informacji na blogu Security Research & Defense).

    “Fix it” nie jest tak dokładnie przetestowany jak normalny patch, ale za to nie wymaga restartu, warto więc rozważyć jego instalacje. Dodatkowo trzeba pamiętać, że nawet po skutecznym zadziałaniu exploita, złośliwy kod może zostać wykonany tylko z uprawnieniami zalogowane użytkownika — pracowanie na koncie administratora nigdy nie jest zalecanym rozwiązaniem.

    2) Skonfigurować IE by używało Enhanced Mitigation Experience Toolkit (EMET). EMET to darmowe narzędzie, które ma utrudniać działanie exploita wymuszając mechanizmy takie jak np. data execution prevention (DEP) czy address space layout randomisation (ASLR), bez zmian w samym kodzie uruchamianej w EMET aplikacji

    3) Zmienić konfiguracje IE tak aby ostrzegał przy każdej próbie uruchomieniu Active Scripting, wyłączyć całkowicie Active Scripting, korzystać tylko z zaufanych stron…

Do czasu wydania odpowiedniej poprawki zawsze można pomyśleć… o tymczasowym (choć mamy nadzieję, że jednak permanentnym) korzystaniu z innych przeglądarek ;) W dużych firmach, które zarządzają IE poprzez mechanizm polis (GPO) może to być jednak trudniejsze niż się wydaje.

P.S. Biorąc po uwagę, że w tym miesiącu wyszła poprawka MS12-037 łatająca 13 innych podatności w IE (w tym CVE-2012-1875, która również jest aktywnie wykorzystywana) można powiedzieć, że nie jest to najbardziej udany miesiąc dla IE…

Przeczytaj także:



25 komentarzy

Dodaj komentarz
  1. brak patcha to plus dla nas.

  2. Kolejna dziura w serze szwajcarskim?

  3. Ten 0-day to ma 9 dni…
    http://technet.microsoft.com/en-us/security/advisory/2719615

    • 0day nie jest oznaczeniem błędu tylko w pierwszym dniu jego odkrycia…

    • AV już go wykrywają i blokują. Testowane na kilku.

  4. Poza tym Vupen ma już splojta na Windows7
    http://www.techweekeurope.co.uk/news/microsoft-patch-zero-day-vupen-83529

  5. Najlepsza łatka to zmienić przeglądarkę. :P

  6. Od kiedy IE to przegladarka? :D

    • No jak to – przeglądarka komputera z internetu…

    • Europa akurat stoi dobrze pod tym względem, ale moje statystyki z Azji są przerażające. Tam >60% ludzi używa przeglądarek wypuszczanych przez różne portale, a wszystkie oparte są na silniku IE6.

  7. btw. exploit dla metasploita już działa pod Win7 (19.06.2012 został zaktualizowany)
    EMET faktycznie blokuje działanie exploitu (przetestowane na Wint 32bit)

  8. EMET jest dobry, ale Sandboxie lepsze i też darmowe :D

  9. IE to nie przeglądarka. To sport ekstremalny dla lubiących adrenalinę…

  10. Już sam tytuł mnie rozbawił >;-]

  11. Microsoft nie pozostał dłużny i znalazł krytyczny błąd w Google Chrome :]

    http://technet.microsoft.com/en-us/security/msvr/msvr12-008

    Microsoft Vulnerability Research Advisory MSVR12-008
    Vulnerability in Google Chrome Could Allow Local Code Execution

    • Haha, niezłe. Co ciekawe, ten “exploit” wymaga zainstalowania najpierw spreparowanej wtyczki. Czyli tak jakby mija się z celem, skoro atakujący ma już dostęp do systemu plików ofiary :)

    • @Borys Łącki konkurencja jest dobra dla nas. Do czasu, aż nie zaczną sobie podrzucać błędów aby coś udowodnić ;-)

  12. Hmm.
    “stronę z częściami samolotów mogą odwiedzać mogą ”

    Poprawi ktoś?

  13. Nie pierwszy i nie ostatni :)

  14. Akurat porada “korzystać tylko z zaufanych stron” jest bezwartościowa – jak sam napisałeś wyżej wiadomo o co najmniej dwóch site’ach, które zostały zainfekowane, a z pewnoscią były dla kogoś zaufane :) Warto też pamiętać, że dawno, dawno temu udało się wrzucić “podrobione” bannery do jednej z największych sieci ogłoszeniowych – w ten sposób zakażenie może się rozprzestrzenić jak pożar prerii.

    • Zgadzam się :) Jest to rada samego MS, oni sami Security Research & Defense przyznają, że jest to średnie “zabezpieczenie” dlatego proponują “fix it”

  15. Świetna instrukcja jak się zabezpieczyć… już to widzę jak to stosują użytkownicy. Na końcu artykuły winno być “… albo zmień przeglądarkę :)”

  16. Dajcie linka do wypróbowania .Firefox ma .

  17. że też ktoś robi 0daye na przeglądarkę do ściągania przeglądarek…

  18. […] patcha na podatność w Microsoft XML Core Services (CVE-2012-1889) wykorzystywaną głównie do ataków na użytkowników przeglądarki IE. Tymczasem exploity na tę dziurę dodawane są do kolejnych exploit-packów, w tym do […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: