Раскрыт эксплойт-код для новой уязвимости в Internet Explorer

Николай Головко 22 Декабря 2010 - 19:14

...

Исследователи в области защиты информации опубликовали код, позволяющий эксплуатировать открытый изъян в обозревателе Microsoft Internet Explorer и обходить контуры защиты от уязвимостей, встроенные в операционную систему Windows 7.

Руководитель группы Microsoft Trustworthy Computing Дэйв Форстром в официальном заявлении отметил, что корпорация изучает предоставленные ей сведения об упомянутой ошибке безопасности. По словам г-на Форстрома, в реальной вирусной среде пока не было попыток эксплуатировать данную уязвимость; сообщений о пострадавших от нее пользователях также не поступало.

Сам изъян был обнаружен в первой декаде текущего месяца французской компанией Vupen. Сообщается, что проблема связана с некорректным функционированием обработчика таблиц стилей (CSS) браузера, который допускает ошибку при исполнении директивы @import. Напомним, что эта директива используется для загрузки стилей оформления веб-страниц из внешних источников.

Согласно бюллетеню Vupen, уязвимость может успешно эксплуатироваться против любого выпуска обозревателя Internet Explorer с шестого по восьмой включительно. IE6 и IE7 тестировались на операционной системе Windows XP, а IE8 - на XP, Vista и 7. Открыв в браузере особым образом сформированную страницу, пользователь может подвергнуться атаке вредоносного программного обеспечения или пострадать от компрометации данных.

Вновь вспомнить о неисправленной уязвимости пришлось вчера, 21 декабря, когда исследовательская группа Abysssec Security Research представила видеоролик с демонстрацией описанной выше атаки, а специалист Джошуа Дрейк добавил действующий эксплойт для нее в пакет Metasploit, который используется для выявления и оценки изъянов в программном обеспечении.

Особенность этого эксплойт-кода состоит в том, что он способен обходить внутренние системы защиты Windows 7, специально разработанные для борьбы с уязвимостями и нападениями на них - DEP (предотвращение исполнения данных) и ASLR (случайное расположение адресного пространства). Для достижения этой цели вредоносный код заставляет операционную систему загружать устаревшие .Net-библиотеки, не обеспеченные надлежащей защитой.

Представитель Microsoft ничего не сообщил о планах корпорации по исправлению этой уязвимости, заметив лишь, что будут приняты "все необходимые меры". Если исходить из традиционного расписания выпуска обновлений для обозревателя Internet Explorer, то можно ожидать, что патч будет доступен не ранее февраля наступающего года.

Computerworld

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Января 2025 - 09:25

macOS Трояны Домашние пользователи

Инфостилер Banshee использует шифрование Apple XProtect в атаках на macOS

На протяжении двух месяцев новой версии инфостилера Banshee удавалось незаметно атаковать пользователей macOS. Уходить от детектирования вредоносу помогало шифрование строки через Apple XProtect.

Banshee впервые был замечен в августе 2024 года. Тогда специалисты отмечали, что зловред разработан специально для атак на пользователей macOS. На соответствующих форумах Banshee предлагали по подписке — $3000 в месяц.

В конце ноября исходные коды Banshee слили на GitHub, после чего созданный на основе трояна сервис (MaaS, Malware-as-a-Service) закрылся.

Основная функциональность трояна сводится к краже данных из браузеров, криптокошельков и многих браузерных плагинов. На тот момент разработчики обеспечили Banshee лишь базовой защитой: троян умел вычислять виртуальную среду и отладчики.

Теперь же специалисты Check Point сообщают о новых функциональных возможностях вредоноса. Последние по времени версии Banshee задействуют шифрование, помогающее ему выглядеть легитимно при краже данных.

Ещё одно нововведение заключается в том, что операторы больше не брезгуют заражением компьютеров русскоговорящих пользователей.

Интересно, что Banshee выбрал именно Apple XProtect — технологию для детектирования вредоносных программ в macOS. XProtect использует набор правил, которые чем-то напоминают антивирусные сигнатуры.

Актуальные образцы Banshee взяли на вооружение алгоритм шифрования строки, который XProtect использует для защиты своих данных. Таким образом, дешефруя строки лишь в процессе выполнения, вредоносу удаётся уходить от стандартных методов статичного детектирования.

Banshee распространяется через репозитории на площадке GitHub, маскируясь при этом под легитимный софт.