21/6/2012
Microsoft poinformował o istnieniu dziury (CVE-2012-1889) MSXML Code Services pozwalającej na zdalne wykonanie kodu. Dziura, wykryta przez Google Security Team i Qihoo 360 Security Center, dotyczy wszystkich wspieranych wersji Windowsa oraz wszystkich wspieranych wersji Microsoft Office 2003 i 2007.
Gdzie MSXML jest dziurawy?
Podatność występuje, gdy MSXML próbuje odwołać się do obiektów w pamięci, które nie były inicjowane. Może to spowodować modyfikację pamięci, co w konsekwencji umożliwi wykonanie dowolnego kodu napastnika z uprawnieniami zalogowanego użytkownika.
Luka ta jest aktywnie wykorzystywana przez przestępców; aktualny wektor ataku to drive-by install z wykorzystaniem przeglądarki IE — jedyne co musi zrobić ofiara, to wejść przy pomocy IE na odpowiednio spreparowaną stronę WWW.
Exploit już dostępny
Expolit dla Metasploita jest już dostępny. Jak na razie działa on tylko przeciwko IE6 i IE7 na Windows XP SP3.
W internecie odnotowano też pierwsze przypadki infekowania internautów przy pomocy exploita — we wtorek na stronie firmy medycznej, wczoraj na stronie firmy lotniczej — Sophos podejrzewa, że atakującym mogło de facto chodzić o inne firmy, ponieważ stronę z częściami samolotów mogą odwiedzać mogą np. osoby związane z przemysłem zbrojeniowym i to w nie wycelowany mógł być atak.
Pojawiają się również głosy, że dosyć tajemnicze ostrzeżenia GMaila o “sponsorowanych przez rząd atakach” mogą być związane właśnie z tą podatnością (CVE-2012-1889) — Google przekazał Microsoftowi informacje o dziurze już 30 maja, a ostrzeżenia pojawiły się 6. czerwca.
Tymczasowe obejścia problemu
Póki co nie istnieje patch łatający podatność, mamy więc do czynienia z podatnością 0day. Microsoft opublikował rozwiązania, które powinny chronić użytkowników “tak dobrze jak to możliwe”:
-
1) Zainstalować “fix it”, który modyfikuje dll MSXML tak by przy starcie IE inicjował odpowiednie zmienne, przez co exploit nie powinien zadziałać (więcej informacji na blogu Security Research & Defense).
2) Skonfigurować IE by używało Enhanced Mitigation Experience Toolkit (EMET). EMET to darmowe narzędzie, które ma utrudniać działanie exploita wymuszając mechanizmy takie jak np. data execution prevention (DEP) czy address space layout randomisation (ASLR), bez zmian w samym kodzie uruchamianej w EMET aplikacji
3) Zmienić konfiguracje IE tak aby ostrzegał przy każdej próbie uruchomieniu Active Scripting, wyłączyć całkowicie Active Scripting, korzystać tylko z zaufanych stron…
Do czasu wydania odpowiedniej poprawki zawsze można pomyśleć… o tymczasowym (choć mamy nadzieję, że jednak permanentnym) korzystaniu z innych przeglądarek ;) W dużych firmach, które zarządzają IE poprzez mechanizm polis (GPO) może to być jednak trudniejsze niż się wydaje.
P.S. Biorąc po uwagę, że w tym miesiącu wyszła poprawka MS12-037 łatająca 13 innych podatności w IE (w tym CVE-2012-1875, która również jest aktywnie wykorzystywana) można powiedzieć, że nie jest to najbardziej udany miesiąc dla IE…
brak patcha to plus dla nas.
Kolejna dziura w serze szwajcarskim?
Ten 0-day to ma 9 dni…
http://technet.microsoft.com/en-us/security/advisory/2719615
0day nie jest oznaczeniem błędu tylko w pierwszym dniu jego odkrycia…
AV już go wykrywają i blokują. Testowane na kilku.
Poza tym Vupen ma już splojta na Windows7
http://www.techweekeurope.co.uk/news/microsoft-patch-zero-day-vupen-83529
Najlepsza łatka to zmienić przeglądarkę. :P
Od kiedy IE to przegladarka? :D
No jak to – przeglądarka komputera z internetu…
Europa akurat stoi dobrze pod tym względem, ale moje statystyki z Azji są przerażające. Tam >60% ludzi używa przeglądarek wypuszczanych przez różne portale, a wszystkie oparte są na silniku IE6.
btw. exploit dla metasploita już działa pod Win7 (19.06.2012 został zaktualizowany)
EMET faktycznie blokuje działanie exploitu (przetestowane na Wint 32bit)
EMET jest dobry, ale Sandboxie lepsze i też darmowe :D
IE to nie przeglądarka. To sport ekstremalny dla lubiących adrenalinę…
Już sam tytuł mnie rozbawił >;-]
Microsoft nie pozostał dłużny i znalazł krytyczny błąd w Google Chrome :]
http://technet.microsoft.com/en-us/security/msvr/msvr12-008
Microsoft Vulnerability Research Advisory MSVR12-008
Vulnerability in Google Chrome Could Allow Local Code Execution
Haha, niezłe. Co ciekawe, ten “exploit” wymaga zainstalowania najpierw spreparowanej wtyczki. Czyli tak jakby mija się z celem, skoro atakujący ma już dostęp do systemu plików ofiary :)
@Borys Łącki konkurencja jest dobra dla nas. Do czasu, aż nie zaczną sobie podrzucać błędów aby coś udowodnić ;-)
Hmm.
“stronę z częściami samolotów mogą odwiedzać mogą ”
Poprawi ktoś?
Nie pierwszy i nie ostatni :)
Akurat porada “korzystać tylko z zaufanych stron” jest bezwartościowa – jak sam napisałeś wyżej wiadomo o co najmniej dwóch site’ach, które zostały zainfekowane, a z pewnoscią były dla kogoś zaufane :) Warto też pamiętać, że dawno, dawno temu udało się wrzucić “podrobione” bannery do jednej z największych sieci ogłoszeniowych – w ten sposób zakażenie może się rozprzestrzenić jak pożar prerii.
Zgadzam się :) Jest to rada samego MS, oni sami Security Research & Defense przyznają, że jest to średnie “zabezpieczenie” dlatego proponują “fix it”
Świetna instrukcja jak się zabezpieczyć… już to widzę jak to stosują użytkownicy. Na końcu artykuły winno być “… albo zmień przeglądarkę :)”
Dajcie linka do wypróbowania .Firefox ma .
że też ktoś robi 0daye na przeglądarkę do ściągania przeglądarek…
[…] patcha na podatność w Microsoft XML Core Services (CVE-2012-1889) wykorzystywaną głównie do ataków na użytkowników przeglądarki IE. Tymczasem exploity na tę dziurę dodawane są do kolejnych exploit-packów, w tym do […]