Компания
458,88
рейтинг
18 июня 2010 в 20:06

Разное → История одного эксплойта или “бесконечный” 0-day: CVE-2010-1297

Началась эта история уже более десяти дней назад, когда стало известно об очередной уязвимости в продуктах компании Adobe, приводящей к возможности удаленного выполнения вредоносного кода. Началось активное распространение этой заразы, в частности, эксплойт вошел в состав многих эксплойт-паков, активно распространяющихся в данный момент времени. Но самое интересное началось после того, как вечером 10 июня появился публичный код эксплойта в составе Metasploit.



Сейчас насчитывается уже несколько модификаций этого эксплойта, но принципиально они ничем не отличаются. В основном, изменения коснулись шелл-кода, который выполняется сразу после успешного heap-spray и полезной нагрузки, которая выполняется после успешной эксплуатации уязвимости. Атака heap-spray производится при помощи javascript-сценария:

image

Для успешной эксплуатации уязвимости авторами активно применяются техники возвратно-ориентированного программирования (в народе просто ROP (Return-Oriented Programming)). По теме ROP есть хороший ознакомительный материал от известного исследователя Dino Dai Zovi.

image

Если посмотреть на карту памяти в момент активной атаки heap-spray, то можно увидеть большое количество выделенных однотипных блоков памяти с атрибутами на чтение и запись. Но в самом конце этой цепочки блоков можно увидеть два блока памяти, имеющих атрибут на выполнение. Собственно, именно здесь и расположен шелл-код, который выполнится в дальнейшем.

image

После успешного применения техники heap-spray передается управление на шелл-код, который состоит из нескольких уровней. Каждый уровень расшифровывает последующий.

image

В итоге выполнения этой вереницы шелл-кода в темповую директорию сбрасывается исполняемый файл и pdf-файл. Исполняемый файл представляет собой троянца-загрузчика обнаруживаемого нами как Win32/Small.NEM. Интересно, что в секции ресурсов он содержит информацию следующего характера:

image

Таким образом он пытается замаскироваться под легальную программу.
После успешного запуска вредоносной программы происходит перезапуск программы Adobe Reader и открытие предварительно подготовленного pdf-файла.

image

Этот pdf-файл не содержит вредоносного контента и призван сбить столку пользователя, который открыл до этого файл содержащий эксплойт.

Напоследок хочется отметить, что уязвимость для Adobe Reader до сих пор еще не ликвидирована и может успешно эксплуатироваться. Обновление для Adobe Reader, устраняющее эту уязвимость, запланировано только на конец текущего месяца. Будьте бдительны!
Автор: @SVH
ESET NOD32
рейтинг 458,88

Комментарии (47)

  • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Ещё вариант: Панель управления — Удаление программы
  • +37
    Я люблю фирму Adobe. Она №3 в моём списке самых любимых компаний. Она заботится о пользователях, она делает очень безопасный софт, она публикует исходные тексты под свободными лицензиями, она никогда не требует заведения уголовных дел против пользователей…
    • +15
      • +4
        ммм, обожаю этот сериал
        • 0
          Сколько уже обновлял страницу- все время этот коммент то минусуют, то плюсуют.
          Вы хоть определитесь =)
          • 0
            Вот зачем ты это написал??7
    • +1
      Огласите весь список, пожалуйста!
      • +4
        MS apple, adobe, 1c.
        • +5
          Интересно. Между первыми двумя нет запятой.
          • 0
            По Фрейду вышла опечатка.
            • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        Забыл название, она софт для парижского метро делала.
      • –5
        Microsoft: MS Paint.

        З.ы. То, что в майкрософт делают далеко не весь софт действительно безопасным и стабильным, они все же делают безопасный софт.
      • 0
        вы знаете, наверное обсолютно безопасного софта идущего в ногу со временем нет, а вот разница между появлением публичных эксплойтов и закрытием дыр у всех разная, некоторые стараются до этого не доводить, а некоторые в погоне за новыми рюшечками и баксиками на пользователей кладут большой болт, особенно в этом смысле радует ms.
      • –1
        Google Chrome?

        Вы просто не понимате, есть подход при котром нанимается N индусоруких программистов и им поручают написать как можно скорее более-менее рабочую версию, а есть подход, когда сначала проектируется минимизирующая возмодность уязвимости архитектура. Есть приемы написания кода, позволяющие также минимизировть вероятность уязвимостей.
      • 0
        Radmin? :)
  • +1
    Недавно вышла новая статья из цикла «Exploit writing tutorial»:
    Chaining DEP with ROP. Как раз, по теме ROP. Всем советую прочитать.
    • 0
      очень интересно, спасибо!
    • 0
      Автор очень хорошо пишет, даже мне, плоховастенько знающему английский, все понятно.
  • +10
    «Разработчики web-браузера Google Chrome сообщили об интеграции с состав браузера кода для просмотра PDF-документов, избавив пользователей от необходимости установки дополнительных плагинов или вызова внешних приложений. Начиная с выпущенной сегодня тестовой версии Chrome 6.0.437.1, для отображения PDF-документов будут задействованы те же средства, что используются для вывода обычных html-страниц. С точки зрения пользователя работа с PDF теперь мало отличима от просмотра HTML. Код для просмотра PDF создан с нуля и распространяется как открытый проект (доступен для Chromium).»
    • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        да, в этом и плюс данной фичи
      • +1
        Разве флеш в хроме исполняется в песочнице?

        lwn.net/Articles/347547/

        One additional, important area that is not covered by the sandbox are plugins like Flash… «our experience on Windows is that, in order for Flash to do all the things that various sites expect it to be able to do, the sandbox has to be so full of holes that it's rather useless».
        • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    за ту минуту «висения» нормальный человек просто снесёт процесс (ну или пойдёт покурить).
    • 0
      В среднем пользовательском компьютере минутное висение — обычное дело.
      Вспомните любовь ноутбуко-вендоров к куче софта ненужного.
      • 0
        Для кого как. :) Меня бы удивило бы такое поведение софта.
      • –1
        >В среднем пользовательском компьютере под управлением ОС Windows и напичканным продуктами от Adobe минутное висение — обычное дело.
        fix

        Для акробата и 5 минут висения еще ничего странного.
  • +3
    Очередной пункт для Стива на тему «Почему я не люблю Adobe»…
  • –2
    столько новостей о сыре адоби и плохих коментариев этих новостей что я уже думаю удолить его… сыру сдесь не место
  • –5
    Hurpy durp i love Flash!
  • 0
    Так под линуксом оно не запустится? %) Дайте мне вирус, скучно!

    >>Обновление для Adobe Reader, устраняющее эту уязвимость, запланировано только на конец текущего месяца.
    Возрадуемся %)
    • 0
      Почему бы нет? Adobe Reader есть под Linux. Вопрос только в бинарнике.
  • –2
    Не, ну вот уроды. Майкрософт со своими браузерами голову дурит, а Адоби заплатку планирует на конец текущего месяца. Никто не думает о пользователе, только бы денег нагрести.

    Я не против Flash, но раз такая херня, пошли они нахер, дайте уже HTML5.
    • +7
      Казалось бы, причем здесь Flash?
      • +1
        Политика компании, она такая политика. Все продукты одинаково выпускаются. А я готов чисто из принципа отказываться от каких-то программ.
      • 0
        при том, что это дырка во флеше, а pdf используется лишь как носитель сжатого swf потока: blog.zynamics.com/2010/06/09/analyzing-the-currently-exploited-0-day-for-adobe-reader-and-adobe-flash/ (Часть 1)

        • 0
          The first interesting stream can be found in PDF object 1. It is a binary stream that starts with the three characters CWS, the magic value of compressed Flash SWF files headers. I dumped this stream to a file and it turned out to be a valid Flash file.
        • 0
          cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297

          … on Windows and Mac OS X, allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted SWF content, related to authplay.dll and the Actionscript Virtual Machine 2 (AVM2) newfunction instruction, as exploited in the wild in June 2010.
  • –1
    юзаем google docs
  • 0
    Музончик классный. Кому интересно, это саундтрек из фильма Пи.
    www.youtube.com/watch?v=CAEQuE-ygjA
  • 0
    Поясните как происходит передача выполнения на шел-код?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное