http://feedproxy.google.com/~r/hispasec/zCAd/~3/XPk9YrqbIhE/grave-vulnerabilidad-sin-parche-en.html
Se
ha descubierto un nuevo exploit que aprovecha una vulnerabilidad crítica en
Internet Explorer. Permite la ejecución remota de código arbitrario y que está
siendo usada por atacantes. Afecta a las versiones 7, 8 y 9 del navegador en
todas las versiones del sistema operativo.
Se ha descubierto una
vulnerabilidad en Internet Explorer, previamente desconocida y que está siendo
aprovechada por atacantes. Uno de los datos más curiosos es cómo fue
descubierto por el investigador Eric Romang (@eromang), y que indica que este
0-day podría estar relacionado por los mismos autores de la grave
vulnerabilidad en Java de hace solo unas semanas. Después del
descubrimiento del problema en Java, Eric Romang monitorizaba regularmente
algunos de los servidores desde donde se sabía que se distribuía aquel exploit
y relacionados con sus desarrolladores. El día 14 de septiembre detectó que se
había creado nuevo directorio en uno de ellos donde se alojaba el código para
aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet Explorer.
El fallo permite la ejecución
remota de código a través de una vulnerabilidad en la función execCommand utilizando
referencias no válidas a puntero ya liberado (use-after-free). En el código del
exploit esto se consigue mediante la creación de un objeto ‘CMshtmlEd’, su eliminación y posterior uso de
la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la
vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de
la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir
su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del
servidor malicioso.
En el siguiente vídeo se puede
observar todo el proceso, llevado a cabo en un servidor comprometido donde se
alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de
controlar a la potencial víctima.
El diagrama de flujo del ataque
sería el siguiente:
El exploit (Protect.html)
inicialmente no era detectado por ninguna casa antivirus:
Aunque finalmente Microsoft ha
actualizado sus definiciones de antivirus identificando la familia del exploit
como Dufmoh.
Este 0-day está siendo
ampliamente explotado tras la publicación del script para Metasploit. Aunque el
módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.
Fuente: http://postimage.org/image/zf4qdbmuf
No existe parche o contramedida oficial por parte de Microsoft, por
lo que se recomienda el uso de otros navegadores hasta que sea publicada una
actualización. EMET correctamente configurado, podría permitir detener el
vector de ataque.
Más información:
Zero-Day Season Is Really Not Over Yet
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
IE execCommand fuction Use after free
Vulnerability 0day en
metasploit: Microsoft Internet Explorer
execCommand Use-After-Free
Vulnerability
Mmm, Smells Like 0day
http://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day
New Internet Explorer zero day being exploited
in the wild
Exploit:Win32/Dufmoh.B
Microsoft Internet Explorer execCommand
Use-After-Free Vulnerability
2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265
Jose Mesa
jmesa@hispasec.com
Sergio de los Santos
ssantos@hispasec.com
@ssantosv
Enviado por gReader
Hermetric 