MS13-051: Fuera de mi MS Office!

Escrito por Neil Sikka, ingeniería de la fuente de Microsoft - @neilsikka

MS13-051 resuelve que una vulnerabilidad de seguridad existente en Microsoft Office 2003 y Office para Mac. Versiones más recientes de Microsoft Office para Windows no se ven afectadas por esta vulnerabilidad, pero la última versión de Office para Mac (2011) se ve afectada. Ya hemos visto esta vulnerabilidad explotada en ataques dirigidos "0 day" en el campo. En este blog discutiremos los siguientes aspectos:

• Detalles técnicos
• Patrón de ataque
• Consejos para la detección

Detalles técnicos

En el análisis de código archivo PNG de la oficina, hay una vulnerabilidad donde la longitud de un bloque no está correctamente marcada. La especificación de PNG (#5Chunk-layout https://www.w3.org/TR/PNG/) dice que "aunque los codificadores y decodificadores Deben tratar la longitud como unsigned, y su valor no debe exceder 2 ^ 31-1 bytes. Sin embargo, en los archivos PNG malintencionados, encuentre la longitud de un bloque igual a 0xFFFFFFFF. El análisis de código PNG maneja correctamente este campo como unsigned (como en PNG), pero no se detecta cuando el valor de 0xFFFFFFFF, si se interpreta como un valor sin signo, superior en 2 ^ 31-1. A continuación es cómo se ve como el tamaño de bloque malicioso (resaltada en amarillo):
 
  
 
El Shellcode análisis indican que el exploit para esta vulnerabilidad fue que una pila clásica  base de desbordamiento de búfer, que escribió mucho tiempo después del final de un tampón en la pila, sustituyendo los datos del control en la pila de programa, lleva a laimplementación del programa de alta elevación. Versiones anteriores de Office/Windows sin mitigación para estos tipos de ataques, pero tiene nuevas versions de Office/Windows. Este es un ejemplo de cómo ejecutar el software actual puede aumentar la seguridad de una organización. También observamos que EMET 3.0 (o superior) es capaz de detener los ataques observados hasta ahora, proporcionando una reducción adicional contra este ataque específico.

Patrón de ataque

Los ataques fueron muy preocupados que observamos en el campo y fueron diseñados para evitar siendo estudiada por los investigadores de seguridad. Las muestras se observan maliciosos documentos de Office (Office 2003 formato binario) que no incluyen el archivo PNG malintencionado incrustado directamente en el documento. En
cambio, los documentos que hace referencia a un archivo PNG malintencionado cargan desde Internet y alojados en un servidor remoto.

Los invasores también equipado a sus servidores con scripts que evitan salir varias veces, el exploit PNG en un esfuerzo por mantener este "día 0" más ocultado. Creemos que los ataques limitados observados fueron geográficamente se encuentra principalmente en Indonesia y Malasia. 

Consejos para la detección

El estándar común para todos estos documentos es el nombre del archivo "space.gif", utilizado por cada archivo malintencionado para buscar el archivo PNG remoto que contiene el exploit. Con el fin de ayudar en la seguridad, proveedores y empresas buscando indicadores potenciales y a proporcionar una protección eficaz, ofrecemos algunos de la URL que se utiliza para cargar el exploit remoto de PNG y hashes de códigos maliciosos  de archivos de Office en forma de binaries  observaron en estos ataques dirigidos y limitados.

hXXp://intent.nofrillspace.com/users/web11_focus/4307/space.gif

hXXp://intent.nofrillspace.com/users/web11_focus/3807/space.gif

hXXp://mister.nofrillspace.com/users/web8_dice/3791/space.gif

hXXp://mister.nofrillspace.com/users/web8_dice/4226/space.gif

hXXp://www.bridginglinks.com/somebody/4698/space.gif

hXXp://www.police28122011.0fees.net/pages/013/space.gif

hXXp://zhongguoren.hostoi.com/news/space.gif

Gracias a Andrew Lyons y Neel Mehta de Google Inc para el informe y Elia Florio y Cristian Craioveanu que ayudaron con este caso.