Чтобы снизить вероятность эксплойта свежей 0-day уязвимости в Internet Explorer, Microsoft предлагает установить новую версию своего инструмента Fix it. Это временное решение распространяется лишь на 32-битные версии IE. Внеочередной патч, закрывающий опасную дыру, планируется выпустить 21 сентября.

Помимо только что найденной уязвимости, которая уже эксплуатируется itw, грядущий пакет обновлений MS12-063 устранит еще 4 критические бреши в IE, связанные с проблемой удаленного выполнения кода. Новую версию Fix it, блокирующую выполнение некоторых скриптов, можно скачать на сайте техподдержки Microsoft. Фикс необязательно удалять после установки полноценной заплатки. Обновление, которому присвоен статус Critical, будет распространяться через Windows Update и другие стандартные каналы.

IE-уязвимость нулевого дня CVE-2012-4969 позволяет злоумышленнику через порчу памяти выполнить произвольный код в контексте текущего пользователя. Эксплойт запускается при заходе на специально сформированную страницу, куда пользователя могут заманить через ссылку в спам-письме или IM-сообщении. Брешь актуальна для Internet Explorer версий 9 и ниже, работающего под Windows XP, 7 или Vista.

О существовании 0-day уязвимости в IE стало известно в минувшие выходные, когда были обнародованы с результаты анализа нового эксплойта, найденного itw. Ввиду серьезности угрозы команда Metasploit поспешила обновить свою коллекцию, отметив, что риску подвержены 41% пользователей Северной Америки и 32% в остальных регионах. В начале недели эксперты AlienVault обнаружили еще несколько аналогичных эксплойтов, запущенных в Сеть.

Инициатором новой 0-day кампании предположительно является та же китайская криминальная группа, которая использовала Java-эксплойт нулевого дня, обнаруженный в конце августа (к CVE-2012-4681). По свидетельству AlienVault, основными мишенями злоумышленников являются предприятия оборонной промышленности США и Великобритании, а также сфера электроэнергетики. При отработке IE-эксплойта на машину пользователя устанавливается компонент удаленного администрирования ― Poison Ivy или PlugX.

Вторничный патч в этом месяце закрывает небольшую группу критических уязвимостей в различных клиентских программах и «важную» проблему утечки данных/раскрытия информации на сервере Forefront. Были созданы шесть бюллетеней для закрытия одиннадцати брешей, которые могут эксплуатироваться киберпреступниками. Три из шести бюллетеней имеют высший приоритет и должны использоваться как можно скорее. Это бюллетень MS12-023, закрывающий пять уязвимостей Internet Explorer, ведущих к удаленному исполнению кода, и бюллетень MS12-027, закрывающий MSCOMCTL ActiveX Control, который в данный момент подвергается небольшому количеству целевых атак. Если администраторы ставят развертывание в приоритет, необходимо начинать работу именно здесь. У большинства пользователей, скорее всего, включены автоматические обновления, и патчи поступают по умолчанию, также можно просто поискать в меню «пуск» и запустить процесс обновления Windows вручную.

Атаки удаленного исполнения кода, использующие эти шесть уязвимостей IE и ActiveX, представляют собой перенаправление веб-браузера на вредоносные сайты, содержащие веб-страницы, с которых производятся атаки на Internet Explorer, и электронные сообщения с вредоносными вложениям, созданными таким образом, что они кажутся знакомыми жертве, на которую совершается атака. На настоящий момент это очень популярный вид атак на пользователей как домашних, так и корпоративных продуктов Microsoft.

Также Microsoft присвоил бреши Authenticode рейтинг «критической» и рекомендует администраторам поставить в приоритет ее закрытие — она может использоваться при целевых атаках. ActiveX controls может использоваться для эксплуатации этой уязвимости, и некоторые векторы атак могут стать более продвинутыми. Однако эта брешь позволяет делать дополнения и модификации существующего кода, не делая недействительной существующую сигнатуру.

Уязвимость существует в .Net framework, позволяя запускать приложения XBAP из Internet Zone при помощи командной строки. Однако в любое время выбор остается за пользователем, и, похоже, что шансы успешной эксплуатации составляют 50/50.

Последняя из рассматриваемых нами уязвимостей — уязвимость в конвертере Office — значительна и может привести к удаленному исполнению кода, однако вероятность атак на нее намного ниже.

Опасность существует, однако с ней можно справиться.

Южнокорейские интернет-власти не торопятся закрывать ресурс с открыто распространяемым вредоносным кодом, эксплуатирующим уязвимость CVE-2012-0003, закрытую патчем Microsoft MS12-004, выпущенным в январе 2012 года. Как мы уже обсуждали, вредоносный код доступен с 21-го января, и похоже, что в последние дни атакам через этот сайт подверглось достаточно небольшое количество корейских пользователей. В данное время сайт по-прежнему действует.

Похоже, что сам эксплойт надежен и его легко воспроизвести, и мы ожидаем, что он будет включен в состав популярных наборов эксплойтов, распространяемых через интернет. Судя по обсуждениям создателей эксплойтов, очень скоро в Сети появится исходный код «концептуального» эксплойта, что приведет к дальнейшему распространению эксплойта в течение нескольких дней. До сих пор наши продукты распознавали исходный вариант кода с помощью generic-детекта, созданного несколько лет назад, однако сейчас ведется работа над созданием детекта, который позволит обнаруживать javascript и эксплойт как Exploit.x.CVE-2012-0003. Немногочисленные посетители вредоносного сайта получали код, предназначенный для установки руткита и набора шпионских программ. Похоже, что руткит-компоненты нацелены на аккаунты к онлайн-играм, созданным южнокорейскими производителями игр в последние полгода.

Эксплойт использует уязвимость в библиотеке winmm.dll Windows Media Player с помощью механизма heap spray, который, как это ни странно, работает на большинстве версий Windows вплоть до 64-битной Windows Server 2008 SP 2.

Пожалуйста, не забывайте устанавливать обновления системы.

Microsoft завершает серию патчей этого года обширным выпуском «заплат» на разные случаи. Техническим специалистам был обещан выпуск 14 бюллетелей, и 13 из них вышли именно в декабре. Один из них связан со скандальными событиями и закрывает соответствующий код, и хотя немногие отмечены как «критические», являются ли они менее важными?

Было множество догадок относительно того, что за группировка стоит за Stuxnet и Duqu, и наши исследовали опубликовали на Securelist как минимум полдюжины описаний, посвященных одной только аналитике Duqu. MS11-087 закрывает путь проникновения самого Duqu. Эта уязвимость режима ядра была публично идентифицирована и подтверждена в начале ноября, однако с успехом могла использоваться втихую при проведении атак во всем мире уже более года

Инфраструктура открытых ключей (PKI) SSL, созданная 15 лет назад для защиты онлайн-коммуникаций, используется по сей день. Начиная с самых первых версий стандарта и в течение всего периода его реализации на его пути постоянно возникали сложности и проблемы. Сама инфраструктура и поддерживаемый ею протокол подают признаки старения: в последнее время мы сталкиваемся как с атаками на систему открытых ключей, так и с многократным внесением в нее поправок. Но теперь — через 15 лет после ее создания — у инфраструктуры центров сертификации появился конкурент в лице недавно выпущенного и широко обсуждаемого проекта Convergence с открытым исходным кодом. Этот проект претендует на то, чтобы заменить существующую систему центров сертификации. В таблице внизу приведен список наиболее важных событий, связанных с пятнадцатилетним развитием инфраструктуры открытых ключей, используемой протоколом SSL/TLS. Вы можете загрузить полноразмерный вариант картинки, кликнув по ней правой кнопкой мыши и выбрав соответствующий пункт в открывшемся контекстном меню.

По оценке датской компании CSIS, 85% заражений происходят в результате зловредных drive-by загрузок, проведенных с участием готового набора эксплойтов. В 99,8% случаев такие атаки, реализованные на платформе Windows, завершаются успехом по вине пользователя, забывшего закрыть брешь в Java, Adobe Reader/Acrobat, Adobe Flash или Internet Explorer.

Эти неутешительные результаты были получены по итогам анализа сетевой активности 50-ти разных эксплойт-китов, размещенных злоумышленниками на 44 серверах и IP-адресах. За 3 месяца непрерывного мониторинга исследователям удалось идентифицировать свыше полумиллиона drive-by атак. В 31,3% случаев зловред успешно проникал в систему через дыру, которую жертва не удосужилась вовремя залатать. Более 80% drive-by загрузок были нацелены на кражу конфиденциальной информации, персональных данных или на отъем денег с помощью поддельных security-программ.

Разделение попыток эксплойтов по версии Windows выглядело следующим образом: 41% были ориентированы на уязвимости в XP, 38% ― в Vista, 16% в Windows 7. Из веб-браузеров повышенным вниманием злоумышленников пользовался IE (66% drive-by атак), много меньше ― Firefox (21%), в 8% случаев Google Chrome. Среди приложений, установленных под ОС Windows, безусловным лидером по абьюзам вполне ожидаемо оказалась платформа Java JRE (37%). За ней с небольшим отрывом следовала пара Adobe Reader/Acrobat (32%), и лишь потом Adobe Flash (16%) и MS Internet Explorer (10%).

После относительно спокойного патч-вторника, о котором в прошлом месяце написал мой коллега Роул Шоуэнберг, количество патчей, выпущенных в июне, значительно по любым меркам. Компания Microsoft выпустила 16 бюллетеней с заплатами для 34 уязвимостей, с MS11-037 по MS11-053. Обновлены как минимум восемь различных продуктов Microsoft. Кроме того, Adobe также выпустил обновления для Reader, Acrobat, Shockwave и Flash.

Итак, выпущены патчи для следующих программ: Microsoft Windows, Microsoft Office, Internet Explorer, .NET, SQL, Visual Studio, Silverlight, ISA и Adobe Reader, Acrobat, Shockwave и Flash player. Более половины уязвимостей, для которых выпущены патчи, присутствуют в программных компонентах Internet Explorer и Microsoft Excel, часто используемых в ходе drive-by атак и для целевого фишинга.

Наибольший интерес представляет MS11-050, единый патч, закрывающий 11 различных уязвимостей в Internet Explorer, некоторые из которых приводят к утечке данных (cookiejacking), нарушению целостности данных в памяти и удаленному выполнению кода: CVE-2011-1250, CVE-2011-1251, CVE-2011-1252, CVE-2011-1254, CVE-2011-1255, CVE-2011-1256, CVE-2011-1260, CVE-2011-1261, CVE-2011-1262. Дополнительный патч MS11-052 для VML закрывает еще одну уязвимость в Internet Explorer – CVE-2011-1266.

Представители Microsoft уже заявили, что проблема cookiejacking не представляет особой опасности, поскольку этот прием сравнительно нечасто используется для проведения атак. Есть более эффективные техники социальной инженерии, позволяющие киберпреступникам добиться схожих результатов. Данные заявления вполне могут соответствовать действительности, однако в силу того, что об этих приемах сейчас много говорят, вероятность их использования злоумышленниками возрастает.

Восемь уязвимостей в различных версиях Microsoft Excel, о которых в частном порядке сообщили пользователи, закрыты одним патчем – MS11-045. Каждая из них допускает возможность удаленного выполнения кода. В настоящее время мы выясняем, почему этот патч обозначен как «важный», а не «критический».

Особое значение имеют патчи, закрывающие уязвимости в Internet Explorer, Office и Silverlight, которые допускают удаленное выполнение кода. Недавние атаки, направленные на отдельных пользователей и организации, в том числе многочисленные успешные целевые фишинговые и APT-атаки, делают эти патчи особенно актуальными.

Для серверов, расположенных в «облаке», Microsoft закрывает уязвимость, которая позволяет злоумышленникам осуществлять DoS-атаки изнутри «облака». Патч MS11-047 для версий Windows 2008 обозначен как «важный» и закрывает брешь в Hyper-V, позволяющую гостевому пользователю послать специальным образом сформированный пакет данных в VMBus, что приводит к отказу в обслуживании на сервере. MS11-039 – патч для Silverlight, закрывающий уязвимость, которая может использоваться не только для удаленного выполнения кода на стороне клиента, но и для удаленного выполнения произвольного кода на уязвимых веб-серверах IIS.

По крайней мере восемь из девяти патчей, обозначенных как «критические», после установки требуют перезапуска системы, поэтому будьте готовы к перерыву в работе. Как обычно, мы рекомендуем не медлить с установкой всех патчей, выпущенных в этом месяце.

Во вторник Microsoft выпустил пачку новых патчей – двенадцать, если быть точным. Из них два наиболее интересных закрывают уязвимости в Internet Explorer.

Первая из двух уязвимостей в Internet Explorer - CVE-2011-0096 – это уязвимость, связанная с ошибкой в коде браузера, приводящей к таким же результатам, что и уязвимости типа XSS (межсайтовый скриптинг). Интересную информацию об уязвимости на английском языке можно найти здесь.

Описание уязвимости, сделанное пользователем d4rkwind, было опубликовано в 5-м выпуске китайского интернет-журнала "Ph4nt0m Webzine 0x05" - за 24 дня до выпуска патча.

Как говорится в описании уязвимости на сайте CVE, «реализация формата MHTML в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2, и Windows 7 приводит к некорректной обработке MIME-формата в запросе на блоки данных внутри документа, что позволяет осуществлять XSS-атаки с помощью специально созданного веб-сайта, открываемого в Internet Explorer».

Компания Microsoft опубликовала Информационное сообщение (не бюллетень по безопасности) 28 января 2011 года.

Блогпост, в котором уязвимость описывалась как "внедрение MHTML-скрипта", появился в Microsoft Security Research and Defense blog 28 января. «Проблема может затронуть любой сервис, позволяющий отображать введенные пользователем данные. При этом результат внедрения скрипта в сервис зависит от того, как этот сервис реализован. Таким образом, ситуация аналогична проблеме с серверным межсайтовым скриптингом с той разницей, что уязвимость находится на стороне клиента».

В то же время Microsoft выпустила инсталлятор утилиты (a “Fix It tool), которая позволяет частично решить проблему уязвимости. 27 января инсталлятор был подписан цифровой подписью, 28-го числа опубликован. Размер файла MicrosoftFixit50602.msi составляет 649 КБ. Файл автоматически устанавливает настройки, ограничивающие применение протокола MHTML. Это позволяет блокировать выполнение скриптов, таких как javascript, во всех зонах в пределах MHTML-документа. Работа утилиты вызывает небольшие проблемы. Установленные настройки влияют на работу всех приложений, использующих MHTML. На выполнение скрипта в стандартных HTML-файлах они не влияют.

Теперь, когда патч выпущен, те, кто еще не установил утилиту, могут сразу установить патч.

Также интересна уязвимость парсера каскадных таблиц стилей (CSS) в Internet Explorer. Об этой уязвимости еще в конце ноября (если не раньше) сообщил китайский исследователь.

Уязвимость эксплуатируется новым набором эксплойтов Eleonore Exploit Pack release, v1.6.3a. Этот набор включает 0day-эксплойт, еще несколько новых эксплойтов, а также инструмент, препятствующий исследованию функционала вредоносной программы антивирусными компаниями. На киберкриминальном рынке этот Exploit Pack стоит более $2000.

PS. Пока этот пост готовился к публикации, Adobe также выпустила несколько крупных патчей. Добро пожаловать в клуб!

В дикой природе обнаружен резидентный файловый вирус, снабженный генератором доменных имен для загрузки и исполнения вредоносных ехе-файлов из интернета.

PE_LICAT, или Murofet (ЛК детектирует его как Virus.Win32.Murofet), является приложением Windows и инфицирует ре-файлы во время их запуска, внедряя свой код в конец первой секции файла. Основная подпрограмма заражения прописывается в адресном пространстве процесса explorer.exe и пытается связаться с рядом серверов, размещенных в зоне .biz, .com, .info, .org или .net. Список из 800 ссылок формируется по специальному алгоритму, который вычисляет псевдослучайные значения в зависимости от текущего времени и даты в системе-жертве. Все сгенерированные URL имеют вид http://<имя домена>/forum/. Файлы, загружаемые с актуальных адресов, сохраняются во временном каталоге текущего пользователя и перед исполнением подвергаются верификации.

В Trend Micro исследовали сэмпл PE_LICAT и обнаружили, что большинство доменных имен, которые он сгенерировал, пока еще не зарегистрированы. Некоторые из доменов, оказавшихся активными, ассоциированы с инфраструкторой ZeuS. Содержимое ехе-файлов, которые вирус пытался загрузить, удалось определить как вредоносную программу, родственную ZeuS и наделенную функционалом даунлоудера. Образец даунлоудера, который анализируют вирусологи из Trend Micro, загружает одну из копий PE_LICAT.

Новый вирус не имеет фискированных размеров, не зашифрован, не обладает деструктивным функционалом и ориентирован на платформы Windows 2000, XP, Server 2003. Зараженные ре-файлы не способны передавать инфекцию. Ареал обитания PE_LICAT невелик и, по данным Trend Micro, пока ограничивается Северной Америкой и Европой, с незначительным присутствием в Латинской Америке. Страной происхождения вируса предположительно является Италия.

Незакрытые критические уязвимости и эксплойты ставили под угрозу безопасность пользователей браузера Internet Explorer в 2006 году в течение 284 дней. Таким образом, 77 процентов общегодового времени пользователи браузера рисковали подвергнуться хакерской атаке, сообщает сайт SecurityFocus.com со ссылкой на блогера газеты Washington Post Брайана Кребса (Brian Krebs).

Свои выводы Кребс сделал, проанализировав информационные материалы Microsoft и побеседовав с рядом исследователей в области информационной безопасности. Самый большой срок существования незакрытой уязвимости в браузере Firefox составил 9 дней.