Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Mejor Antivirus escriba una noticia?

Exploit dirigido a Internet Explorer

07/10/2013 13:50 0 Comentarios Lectura: ( palabras)

En Septiembre Microsoft publicó información sobre una nueva vulnerabilidad para Internet Explorer - CVE-2013-3893 . La vulnerabilidad afecta a versiones desde la 6 a la 11, incluyendo desde plataformas Windows XP hasta Windows 8.1. Más tarde en el mismo mes, la compañía publicó un parche para cerrar la incidencia.

Los cibercriminiales están contentos de poder explotar este tipo de problemas, ya que son fáciles de "monetizar" (convertir en dinero) debido a que Explorer de Microsoft conserva una gran popularidad.

Este tipo de vulnerabilidad es muy peligrosa porque permite la ejecución de código arbitrario en el sistema atacado. A finales de Septiembre se descubrió un exploit para esta vulnerabilidad, el cual se apoya sobre la función "Use After Free" del motor de renderizado HTML del navegador (-mshtml.dll)

Recientemente hemos sabido que una variante de este exploit fué usado en ataques contra cierto número de víctimas de "alto nivel" en Japón, como políticos o empresarios.

This type of vulnerability is very dangerous because it allows the execution of arbitrary code on the target system. In late September, we discovered an exploit for the vulnerability, which uses an attack of the Use After Free type against the Internet Explorer's HTML rendering engine –mshtml.dll.

Ataque dirigido

La vulnerabilidad es aprovechada únicamente en aquellos PCs que son parte de subredes específicas en las redes de las organizaciones objetivo:

Si la dirección IP de un ordenador pertenece a uno de los rangos definidos por los cibercriminales, la vulnerabilidad será explotada después de que el usuario acceda a una página web fraudulenta o infectada.

La siguiente información se extrae la primera fase del ataque:

  1. Versión de Sistema Operativo
  2. Versión de Internet Explorer
  3. Lenguaje y región del SO
  4. Si Microsoft Office está presente

El exploit selecciona la cadena ROP apropiada y el código fuente basándose en la información obtenida en esta etapa:

Merece la pena comentar que el exploit no funcionará en aquellos sistemas Windows 7 que no tengan instalado Office.

Esto es así porque los sistemas operativos de hoy en día incluyen mecanismos que dificultan la labor de los exploits. Uno de estos mecanismos es el avanzado ASLR (Address Space Layout Randomization) El exploit emplea un curioso truco para evadir el mecanismo: Carga un módulo compilado sin el "soporte para ASLR" en el proceso correspondiente al navegador -librería hxds.dll -.

Esta librería, que es parte del paquete Microsoft Office, no soporta ASLR. Es cargada en una posición de memoria sin definir. Después de esto los atacantes usan la tecnología ROP para maracar la memoria que contiene el código fuente como un ejecutable.

El siguiente código es ejecutado tras la explotación satisfactoria de la vulnerabilidad:

Se puede ver en la imagen superior que el código descifra su parte principal mediante la clave 0x9F.

Tras el descifrado, el código busca las funciones necesarias para descargar y lanzar la carga útil del malware, encontrándose las pistas en sus hashes:

Cuando se completa la búsqueda de direcciones necesarias, se inicia la siguiente actividad:

1. Un objeto malicioso llamado "runrun.exe" es descargado desde el servidor de comando del atacante:

2. Al estar cifrado el módulo descargado, el código fuente lo lee desde el disco y descifra mediante la clave 0x95, tras lo que es iniciado dicho módulo:

Distribución del ataque

Como mencionamos anteriormente, el ataque dirigido usa una modificación del exploit CVE-2013-3893. Al mismo tiempo, el número total de modificaciones descubiertas hasta la fecha es de 21. Se han detectado ataques que emplean esta vulnerabilidad en Taiwan:

Tenemos la siguiente información en los servidores desde los que se ha descargado el "payload" de la amenaza:

Servidor Región 211.23.103.221 Taiwan 210.177.74.45 Hong-Kong 192.192.91.6 Taiwan 61.63.47.27 Taiwan

Un análisis exhaustivo de las varianets de la carga dañina del malware ( md5 - 1b03e3de1ef3e7135fbf9d5ce7e7ccf6 ) ha mostrado que el módulo ejecutable tiene datos encriptados en sus recursos:

El módulo ejecutable extrae los datos y los c onvierte a una librería o DLL:

La DLL creada mediante la conversión de los datos extraídos del malware es grabada en el disco empleando la siguiente ruta: TempPath\tmp.dll ( md5 - bf891c72e4c29cfbe533756ea5685314 ). La librería exporta estas dos funciones:

Cuando la librería es grabada en el disco, es cargada en el espacio del proceso en cuestión y se efectúa la llamada a la función exportada ihsk:

La librería se copia a sí misma para inyectarse en el espacio de otro proceso. Tras su ejecución, el malware se comunica con un servidor en Corea del Sur. Las siguientes peticiones están enviadas desde la máquina infectada:

Kaspersky -quien ha realizado esta investigación, reconoce en sus soluciones de seguridad a la citada amenaza con el nombre:

- Trojan-Dropper.Win32.Injector.jmli para el Payload.

- HEUR:Exploit.Script.Generic. para el exploit en sí mismo.


Sobre esta noticia

Autor:
Mejor Antivirus (323 noticias)
Fuente:
mejor-antivirus.es
Visitas:
1656
Tipo:
Reportaje
Licencia:
Creative Commons License
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.