via: HISPASEC.com
----------------------------------------------------------------
Se ha descubierto un nuevo exploit que aprovecha una vulnerabilidad
crítica en Internet Explorer. Permite la ejecución remota de código
arbitrario y que está siendo usada por atacantes. Afecta a las versiones
7, 8 y 9 del navegador en todas las versiones del sistema operativo.
Se ha descubierto una vulnerabilidad en Internet Explorer, previamente
desconocida y que está siendo aprovechada por atacantes. Uno de los
datos más curiosos es cómo fue descubierto por el investigador Eric
Romang (@eromang), y que indica que este 0-day podría estar relacionado
por los mismos autores de la grave vulnerabilidad en Java de hace solo
unas semanas. Después del descubrimiento del problema en Java, Eric
Romang monitorizaba regularmente algunos de los servidores desde donde
se sabía que se distribuía aquel exploit y relacionados con sus
desarrolladores. El día 14 de septiembre detectó que se había creado
nuevo directorio en uno de ellos donde se alojaba el código para
aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet
Explorer.
El fallo permite la ejecución remota de código a través de una
vulnerabilidad en la función execCommand utilizando referencias no
válidas a puntero ya liberado (use-after-free). En el código del exploit
esto se consigue mediante la creación de un objeto 'CMshtmlEd', su
eliminación y posterior uso de la zona de memoria mediante
CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el
payload mediante la técnica del relleno de la memoria heap mediante NOPs
(heap spray) y del propio shellcode para conseguir su ejecución. Elude
DEP y ASLR con técnicas ROP y después carga un troyano del servidor
malicioso.
En el siguiente vídeo se puede observar todo el proceso, llevado a cabo
en un servidor comprometido donde se alojaban tanto el exploit de IE
como el conocido RAT Poison Ivy, encargado de controlar a la potencial
víctima.
http://youtu.be/_w8XCwdw5FI
El diagrama de flujo del ataque sería el siguiente:
http://2.bp.blogspot.com/-G-HWQ42_uhQ/UFggDIPO3qI/AAAAAAAABFM/Aa4udfFFcSQ/s1600/diagram.png
El exploit (Protect.html) inicialmente no era detectado por ninguna casa
antivirus:
http://3.bp.blogspot.com/-rUHfJBC9P3w/UFggOJFjNkI/AAAAAAAABFU/H0d8nhsmYnk/s1600/VT_nodetection.png
Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus
identificando la familia del exploit como Dufmoh.
http://4.bp.blogspot.com/-QmVIgO8X9vA/UFggfVFw0qI/AAAAAAAABFc/9kM2RZ9hb18/s1600/Dufmoh_detection.png
Este 0-day está siendo ampliamente explotado tras la publicación del
script para Metasploit. Aunque el módulo de Metasploit está creado para
Internet Explorer 8, se podría modificar para otras versiones.
http://postimage.org/image/zf4qdbmuf
No existe parche o contramedida oficial por parte de Microsoft, por lo
que se recomienda el uso de otros navegadores hasta que sea publicada
una actualización. EMET correctamente configurado, podría permitir
detener el vector de ataque.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments
Más información:
Zero-Day Season Is Really Not Over Yet
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
IE execCommand fuction Use after free Vulnerability 0day en
http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-a
fter-free-vulnerability-0day_en/
metasploit: Microsoft Internet Explorer execCommand Use-After-Free
Vulnerability
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99
238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb
Mmm, Smells Like 0day
http://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day
New Internet Explorer zero day being exploited in the wild
http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-
in-the-wild
Exploit:Win32/Dufmoh.B
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fDuf
moh.B&threatid=2147663168
Microsoft Internet Explorer execCommand Use-After-Free Vulnerability
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d6
1ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb
2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/an
alysis/1347710701/
Jose Mesa
Sergio de los Santos
@ssantosv
Me gusta esto:
Me gusta Cargando...
Relacionado