Executável à solta, mas não por muito tempo!

  • Article

por swiat

  

No fim de semana recebemos um relatório de nossos parceiros sobre uma vulnerabilidade possível de Internet Explorer sem patch sendo explorados na natureza. O código de exploração utiliza um erro de corrupção de memória desencadeado a partir de uma página da Web, mas profundamente utiliza um arquivo Flash SWF para alcançar a execução de exploração e código confiável.

O arquivo Flash é feito de um sofisticado código do ActionScript que aloca determinados objetos em memória de modo que eles podem ser corrompidos depois pelo bug do Internet Explorer para dar acesso seguro à regiões de memória para o ActionScript do Flash do código que vai continuar a exploração.

Em resumo, nossa análise neste exemplo de exploração revelou o seguinte:

  • o ASLR é ignorado pelo atacante através de uma vulnerabilidade IE de uso após-livre que corrompe o tamanho de um objeto de <>do Vector Flash e gera a possibilidade de Flash ActionScript acessar memória insegura e divulgar endereços de módulo, incluindo NTDLL base;
  • o DEP é contornado (bypassed) com um gadget ROP que chama ntdll!NtProtectVirtualMemory para alterar a proteção de páginas de memória não-executável para  executável;

 

 

 A boa notícia é que a vulnerabilidade de corrupção de memória usada neste ataque-CVE 2013-3163 - foi já abordada no boletim  Microsoft Security Bulletin MS13-055. Se você ainda não tiver atualizado, por favor fazê-lo no mais adiantado possível. EMET 4.0 foi capaz de parar essa variante de exploit antes do patch com as seguintes reduções:

  • HeapSpray (também eficaz para 3.0 EMET)
  • atenuações de múltiplos ROP o: StackPivot, CallerCheck, MemProt quando é habilitado para "DeepHooks"

 Conselhos para a deteção e indicadores

O padrão comum para este ataque alvo limitado é um drive-by Web page "vid.aspx" ou "aspx" usado como ponto de partida para acionar o bug e executar a carga do Flash secundária; abaixo fornecemos alguns padrões de URL que podem ser útil para análise de tráfego de rede e o log:

h**p://profiles.johnhoward.org/archives/vid.aspx?id=[ALPHANUMERIC CHARS]

h**p://johnhoward.org/archives/vid.aspx?id=[ALPHANUMERIC CHARS]

 

h**p://visit.ccgeo.org/act/list.aspx?id=[ALPHANUMERIC CHARS]

 

 

 

 

 

 

A partir de 7 de julho, algumas das amostras de Flash específicas ainda foram detectadas pela maioria da Comunidade de acordo com VirusTotal; AV hashes e nomes de arquivo destas amostras são também listados abaixo para facilitar a detecção de fornecedores AV: 

MD5

SHA1

FILENAME

d055742371ca82c996dce3672818c28f

2a698512d9b75565be747ba6914fe795bfa98e27

ad.swf

e2fe34c58765b4f6e41e4b096203d04a

81fe2ae7a685014cafc12c3abbcc5ffc9ab27b7e

movie.swf

O shellcode utilizado pelas tentativas de amostra recebida para baixar um arquivo gráfico (pageerror.gif) que contém anexado um executável malicioso criptografado e compactado, possivelmente iniciado da pasta % TEMP % usando o nome de "javae.exe".

 

 

Mantenha-se seguro!

Cristian Craioveanu, Elia Florio

MSRC engenharia