NeK
06-11-13, 15:33
131282Κακόβουλοι χάκερ εκμεταλλεύονται μία ήδη γνωστή αδυναμία στα Microsoft Windows και στο Office που τους επιτρέπει να μολύνουν υπολογιστές με κακόβουλο λογισμικό, προειδοποίησε η Microsoft σε δημοσίευσή της την Τρίτη (http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx?Redirected=true).
Το προηγμένο exploit (κακόβουλο λογισμικό που εκμεταλλεύεται αδυναμίες) βρίσκεται σε παγιδευμένο έγγραφο Word που έρχεται ως συνημμένο σε email, έγραψε την Τρίτη ο Elia Florio του Microsoft Security Response Center. Οι επιθέσεις είναι στοχευμένες σε συγκεκριμένα άτομα ή εταιρείες και βρίσκονται κυρίως στην Μέση Ανατολή και στην Νότια Ασία. Το κακόβουλο έγγραφο εκμεταλλεύεται μία αδυναμία στο graphics device interface της Microsoft που καθιστά δυνατό για αυτούς που επιτίθενται να εκτελέσουν απομακρυσμένα τον κώδικα της επιλογής τους.
"Εάν το συνημμένο ανοιχτεί ή το κάνετε προεπισκόπηση, επιχειρεί να εκμεταλλευτεί την αδυναμία χρησιμοποιώντας μία παραποιημένη εικόνα ενσωματωμένη στο έγγραφο", έγραψε ο Dustin Childs, μάνατζερ στο Microsoft Trustworthy Computing group σε μία άλλη προειδοποιητική ανακοίνωση (http://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx?Redirected=true). "Ένας επιτιθέμενος που έχει επιτυχώς εκμεταλλευτεί την αδυναμία μπορεί να αποκτήσει τα ίδια δικαιώματα με τον χρήστη του υπολογιστή". Mία τρίτη προειδοποιητική ανακοίνωση (http://technet.microsoft.com/en-us/security/advisory/2896666).
Η Microsoft έβγαλε μία προσωρινή επιδιόρθωση (https://support.microsoft.com/kb/2896666) που μπορεί ο κόσμος να την εγκαθιστά και να χρησιμοποιεί, μέχρι κάποια μόνιμη γίνει διαθέσιμη. Αν και δεν διορθώνει την κύρια αιτία της αδυναμίας, η προσωρινή επιδιόρθωση μπλοκάρει την απεικόνιση εικόνων σε φορμάτ που ενεργοποιεί το πρόβλημα. Άλλα προσωρινά μέτρα για χρήστες Windows και Office είναι να τροποποιήσουν το μητρώο των Windows για να αποκλείσουν να απεικονίζονται TIFF εικόνες ή να εγκαταστήσουν την έκδοση 4.0 του EMET (http://support.microsoft.com/kb/2458544) (Enhanced Mitigation Experience Toolkit).
Η αδυναμία προσβάλλει τα Microsoft Windows Vista και τα Windows Server 2008, Microsoft Office 2003 έως 2010 και όλες τις υποστηριζόμενες εκδόσεις του Microsoft Lync. Ο τρόπος με τον οποίο το Office 2010 αναπαράγει τα γραφικά το καθιστά ευάλωτο μόνο όταν τρέχει σε παλαιότερες πλατφόρμες όπως τα Windows XP ή τα Windows Server 2003. Το Office 2010 δεν επηρεάζεται όταν τρέχει σε Windows 7, 8 και 8.1.
Ο Florio δήλωσε ότι ο κακόβουλος κώδικας του exploit χρησιμοποιεί προηγμένες τεχνικές για να παρακάμψει τις προστασίες που οι μηχανικοί της Microsoft έχουν βάλει στις μετέπειτα εκδόσεις των Windows για να τα κάνουν ακόμα πιο ανθεκτικά σε επιθέσεις με εκτελέσιμο κώδικα.
"Προκειμένου να επιτύχει την εκτέλεση του κώδικα, το exploit συνδυάζει πολλαπλές τεχνικές για να παρακάμψει τις προστασίες DEP και ASLR", γράφει ο Florio που αναφέρεται στις Data Execution Prevetion και Address Space Layout Randomization τεχνικές προστασίας. "Συγκεκριμένα, ο κώδικας του exploit εκτελεί ένα μεγάλο heap-spray χρησιμοποιώντας ActiveX controls (αντί για την συνηθισμένη χρήση scripting) και χρησιμοποιεί ενσωματωμένα ROP gadgets για να καταλάβει εκτελέσιμα pages της μνήμης. Αυτό επίσης σημαίνει ότι το exploit αποτυχαίνει σε μηχανήματα που είναι ρυθμισμένα να μπλοκάρουν τα ActiveX controls που είναι ενσωματωμένα σε Office έγγραφα (π.χ. Protected View mode που έχει το Office 2010) ή σε υπολογιστές εξοπλισμένους με διαφορετική έκδοση του module που χρησιμοποιήθηκε για να φτιαχτούν τα ROP gadgets".
Το ROP σημαίνει Return Oriented Programming, μία τεχνική που βοηθά στην παράκαμψη του DEP μέσω της διευθέτησης κώδικα που υπάρχει ήδη στην εφαρμογή με τρόπο τέτοιο που του επιτρέπει να γίνει κακόβουλο. Μόλις τα Windows, το Office ή το Lync επεξεργαστούν τα κακόβουλα σχεδιασμένα TIFF αρχεία, η μνήμη του συστήματος φθείρεται με τέτοιο τρόπο που επιτρέπει στον επιτιθέμενο να εκτελέσει αυθαίρετο κώδικα. Η Microsoft αναγνώρισε τον Haifei Li της ομάδας IPS του McAfee Labs για την αναφορά που έκανε για την αδυναμία αυτή.
Ο Haifei Li είπε ότι η τεχνική του exploit είναι καινοφανής.
"Αξίζει να σημειωθεί ότι αυτό το heap-spray στο Office μέσω των ActiveX αντικειμένων είναι μια νέα μέθοδος που δεν το έχουμε ξαναδεί", γράφει ο Li σε μία ξεχωριστή δημοσίευση στο blog του (http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2). "Προηγουμένως οι επιτιθέμενοι χάκερ συνήθως επέλεγαν τον Flash Player για να "ψεκάσουν" την μνήμη του Office. Πιστεύουμε ότι αυτό το κόλπο αναπτύχθηκε λόγω του ότι η Adobe εισήγαγε μία click-to-play λειτουργία στον Flash Player πριν λίγους μήνες που βασικά αποτελείωσε το παλιό κόλπο. Αυτή είναι μία ακόμα απόδειξη ότι η επιτιθέμενη τεχνική πάντα προσπαθεί να εξελιχθεί όταν οι παλιές δεν λειτουργούν πια".
Τα καλά τα νέα από αυτές τις ανακοινώσεις είναι ότι οι επιθέσεις που παρατηρήθηκαν μέχρι τώρα είναι εξαιρετικά στοχευμένες, σε αντίθεση με άλλα exploits που εμφανίζονται συχνά σε websites που έχουν γίνει hack. Επίσης ενθαρρυντικό είναι ότι μόνο ένα μικρό μέρος του οικοσυστήματος της Microsoft επηρεάζεται. Παρόλα αυτά, είναι δυνατόν οι επιθέσεις να είναι πιο ευρείες από όσο έχει αναφερθεί γιατί δεν ασυνήθιστο στις αρχικές προειδοποιήσεις να τους διαφεύγουν κάποιες δραστηριότητες. Όσοι έχετε λογισμικό που έχει αυτή την αδυναμία καλό θα κάνετε να εγκαταστήσετε την προσωρινή επιδιόρθωση και να ενημερώνεστε για τις τελευταίες εξελίξεις σχετικά με αυτή την επίθεση.
Πηγή: Ars Technica (http://arstechnica.com/security/2013/11/install-fix-to-stop-in-the-wild-windows-and-office-exploit-microsoft-warns/)
Το προηγμένο exploit (κακόβουλο λογισμικό που εκμεταλλεύεται αδυναμίες) βρίσκεται σε παγιδευμένο έγγραφο Word που έρχεται ως συνημμένο σε email, έγραψε την Τρίτη ο Elia Florio του Microsoft Security Response Center. Οι επιθέσεις είναι στοχευμένες σε συγκεκριμένα άτομα ή εταιρείες και βρίσκονται κυρίως στην Μέση Ανατολή και στην Νότια Ασία. Το κακόβουλο έγγραφο εκμεταλλεύεται μία αδυναμία στο graphics device interface της Microsoft που καθιστά δυνατό για αυτούς που επιτίθενται να εκτελέσουν απομακρυσμένα τον κώδικα της επιλογής τους.
"Εάν το συνημμένο ανοιχτεί ή το κάνετε προεπισκόπηση, επιχειρεί να εκμεταλλευτεί την αδυναμία χρησιμοποιώντας μία παραποιημένη εικόνα ενσωματωμένη στο έγγραφο", έγραψε ο Dustin Childs, μάνατζερ στο Microsoft Trustworthy Computing group σε μία άλλη προειδοποιητική ανακοίνωση (http://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx?Redirected=true). "Ένας επιτιθέμενος που έχει επιτυχώς εκμεταλλευτεί την αδυναμία μπορεί να αποκτήσει τα ίδια δικαιώματα με τον χρήστη του υπολογιστή". Mία τρίτη προειδοποιητική ανακοίνωση (http://technet.microsoft.com/en-us/security/advisory/2896666).
Η Microsoft έβγαλε μία προσωρινή επιδιόρθωση (https://support.microsoft.com/kb/2896666) που μπορεί ο κόσμος να την εγκαθιστά και να χρησιμοποιεί, μέχρι κάποια μόνιμη γίνει διαθέσιμη. Αν και δεν διορθώνει την κύρια αιτία της αδυναμίας, η προσωρινή επιδιόρθωση μπλοκάρει την απεικόνιση εικόνων σε φορμάτ που ενεργοποιεί το πρόβλημα. Άλλα προσωρινά μέτρα για χρήστες Windows και Office είναι να τροποποιήσουν το μητρώο των Windows για να αποκλείσουν να απεικονίζονται TIFF εικόνες ή να εγκαταστήσουν την έκδοση 4.0 του EMET (http://support.microsoft.com/kb/2458544) (Enhanced Mitigation Experience Toolkit).
Η αδυναμία προσβάλλει τα Microsoft Windows Vista και τα Windows Server 2008, Microsoft Office 2003 έως 2010 και όλες τις υποστηριζόμενες εκδόσεις του Microsoft Lync. Ο τρόπος με τον οποίο το Office 2010 αναπαράγει τα γραφικά το καθιστά ευάλωτο μόνο όταν τρέχει σε παλαιότερες πλατφόρμες όπως τα Windows XP ή τα Windows Server 2003. Το Office 2010 δεν επηρεάζεται όταν τρέχει σε Windows 7, 8 και 8.1.
Ο Florio δήλωσε ότι ο κακόβουλος κώδικας του exploit χρησιμοποιεί προηγμένες τεχνικές για να παρακάμψει τις προστασίες που οι μηχανικοί της Microsoft έχουν βάλει στις μετέπειτα εκδόσεις των Windows για να τα κάνουν ακόμα πιο ανθεκτικά σε επιθέσεις με εκτελέσιμο κώδικα.
"Προκειμένου να επιτύχει την εκτέλεση του κώδικα, το exploit συνδυάζει πολλαπλές τεχνικές για να παρακάμψει τις προστασίες DEP και ASLR", γράφει ο Florio που αναφέρεται στις Data Execution Prevetion και Address Space Layout Randomization τεχνικές προστασίας. "Συγκεκριμένα, ο κώδικας του exploit εκτελεί ένα μεγάλο heap-spray χρησιμοποιώντας ActiveX controls (αντί για την συνηθισμένη χρήση scripting) και χρησιμοποιεί ενσωματωμένα ROP gadgets για να καταλάβει εκτελέσιμα pages της μνήμης. Αυτό επίσης σημαίνει ότι το exploit αποτυχαίνει σε μηχανήματα που είναι ρυθμισμένα να μπλοκάρουν τα ActiveX controls που είναι ενσωματωμένα σε Office έγγραφα (π.χ. Protected View mode που έχει το Office 2010) ή σε υπολογιστές εξοπλισμένους με διαφορετική έκδοση του module που χρησιμοποιήθηκε για να φτιαχτούν τα ROP gadgets".
Το ROP σημαίνει Return Oriented Programming, μία τεχνική που βοηθά στην παράκαμψη του DEP μέσω της διευθέτησης κώδικα που υπάρχει ήδη στην εφαρμογή με τρόπο τέτοιο που του επιτρέπει να γίνει κακόβουλο. Μόλις τα Windows, το Office ή το Lync επεξεργαστούν τα κακόβουλα σχεδιασμένα TIFF αρχεία, η μνήμη του συστήματος φθείρεται με τέτοιο τρόπο που επιτρέπει στον επιτιθέμενο να εκτελέσει αυθαίρετο κώδικα. Η Microsoft αναγνώρισε τον Haifei Li της ομάδας IPS του McAfee Labs για την αναφορά που έκανε για την αδυναμία αυτή.
Ο Haifei Li είπε ότι η τεχνική του exploit είναι καινοφανής.
"Αξίζει να σημειωθεί ότι αυτό το heap-spray στο Office μέσω των ActiveX αντικειμένων είναι μια νέα μέθοδος που δεν το έχουμε ξαναδεί", γράφει ο Li σε μία ξεχωριστή δημοσίευση στο blog του (http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2). "Προηγουμένως οι επιτιθέμενοι χάκερ συνήθως επέλεγαν τον Flash Player για να "ψεκάσουν" την μνήμη του Office. Πιστεύουμε ότι αυτό το κόλπο αναπτύχθηκε λόγω του ότι η Adobe εισήγαγε μία click-to-play λειτουργία στον Flash Player πριν λίγους μήνες που βασικά αποτελείωσε το παλιό κόλπο. Αυτή είναι μία ακόμα απόδειξη ότι η επιτιθέμενη τεχνική πάντα προσπαθεί να εξελιχθεί όταν οι παλιές δεν λειτουργούν πια".
Τα καλά τα νέα από αυτές τις ανακοινώσεις είναι ότι οι επιθέσεις που παρατηρήθηκαν μέχρι τώρα είναι εξαιρετικά στοχευμένες, σε αντίθεση με άλλα exploits που εμφανίζονται συχνά σε websites που έχουν γίνει hack. Επίσης ενθαρρυντικό είναι ότι μόνο ένα μικρό μέρος του οικοσυστήματος της Microsoft επηρεάζεται. Παρόλα αυτά, είναι δυνατόν οι επιθέσεις να είναι πιο ευρείες από όσο έχει αναφερθεί γιατί δεν ασυνήθιστο στις αρχικές προειδοποιήσεις να τους διαφεύγουν κάποιες δραστηριότητες. Όσοι έχετε λογισμικό που έχει αυτή την αδυναμία καλό θα κάνετε να εγκαταστήσετε την προσωρινή επιδιόρθωση και να ενημερώνεστε για τις τελευταίες εξελίξεις σχετικά με αυτή την επίθεση.
Πηγή: Ars Technica (http://arstechnica.com/security/2013/11/install-fix-to-stop-in-the-wild-windows-and-office-exploit-microsoft-warns/)