Страшилки для интернет-бродилки

Не успели утихнуть страсти вокруг уязвимости в Java (CVE-2012-4681), как к радости создателей client-side exploit kits (и всех интересующихся) в публичном доступе оказался боевой эксплоит к уязвимости нулевого дня в Microsoft Internet Explorer. Как сообщается в официальном уведомлении, уязвимости подвержены практически вся линейка поддерживаемых версий операционных систем от MS и браузера IE вне зависимости от архитектуры процессора (от Windows XP до Windows 2008; от IE 6 до IE 9). При этом доступный для всех и каждого эксплоит, портированный в MSF, обеспечивает покрытие следующих таргетов:

IE 7/Windows XP SP3
IE 8/Windows XP SP3
IE 7/Windows Vista
IE 8/Windows Vista
IE 8/Windows 7
IE 9/Windows 7

Для очередного +40% эффективности в эксплоит-кит вполне подходит!

Итого, за последний месяц имеем весьма привлекательные вектора охоты на хомячков. Кроссплатформенный Java (CVE-2012-4681) с покрытием под разные оси и наиболее распространенные браузеры. В msf это ->

Mozilla Firefox on Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome on Windows XP
Internet Explorer / Mozilla Firefox on Windows Vista
Internet Explorer / Mozilla Firefox on Windows 7
Safari on OS X 10.7.4

Тут же, для еще большего волшебства может использоваться 0day уязвимость в последнем Java SE 7 Update 7, которую Oracle обещают пофиксить не раньше 16-го октября этого года.

+ отличное покрытие для всех любителей побродить в интернете по порно сайтам под встроенным осликом. Обновление ожидается не ранее 9-го октября текущего года.

Для всех желающих увидеть свою защищенность – http://www.surfpatrol.ru/
(только проверка уязвимостей Java - http://isjavaexploitable.com/).

Workarounds

- начать использовать антивирус :)
- отключить Java - http://www.kb.cert.org/vuls/id/636312
- отключить Active Scripting в IE – http://www.mycert.org.my/en/services/advisories/mycert/2012/main/detail/908/index.html

6 комментариев :

  1. Перед первым пунктом лучше поставить Enhanced Mitigation Experience Toolkit (EMET) и сломать 90% экплоитов.

    http://windowsteamblog.com/windows/b/springboard/archive/2011/03/04/what-s-emet-and-how-can-you-benefit-enhanced-mitigation-experience-toolkit.aspx


    ОтветитьУдалить
  2. 17 сентября мы передали эксплоит для CVE-2012-4969 через программы VIA и MAPP всем крупным производителям антивирусов IDS/IPS и прочих систем безопасности.

    Теперь его ловят большинство.

    Microsoft:
    Exploit:SWF/ShellCode.G
    Exploit:Win32/Dufmoh.A
    Exploit:Win32/Dufmoh.B
    Exploit:Win32/Dufmoh.D
    Exploit:Win32/Dufmoh.E
    Backdoor:Win32/Poison.BR

    Kaspersky: Trojan-Downloader.HTML.SWFLoad.g
    Sophos: Troj/SWFDL-G, Troj/SWFDL-H, Troj/SWFDL-I
    Eset: JS/Exploit.Agent.NDG
    GData: JS:Exploit.JS.Agent.AQ
    Avira: HTML/Flashload.A
    ClamAV: JS.Exploit.Agent.gen-1
    Symantec: Bloodhound.Exploit.474


    Подробнее можно ознакомиться с тем кто из антивирусов отреагировал можно тут

    https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/

    ОтветитьУдалить
  3. кстати, заценил EMET, отличная штука! Теперь мой серфинг в безопасности :)

    ОтветитьУдалить
  4. @WTFuzz кстати сразу же замутил этот сплойт, который не юзает баянный JRE ROP и который еще и EMET не ловит.

    ОтветитьУдалить
  5. Emet не панацея, а лишь еще одна защитная техника в эшелонированной защите.

    ОтветитьУдалить