Злоумышленники используют CVE-2014-6332

    Недавно мы писали про новую опасную уязвимость CVE-2014-6332 в Windows, которая присутствовала (MS14-064) в библиотеке OleAut32.dll, а точнее, в функции OleAut32!SafeArrayRedim. Эта функция используется движком VBScript (vbscript.dll) для run-time изменения размера массива в формате SAFEARRAY. В самой SafeArrayRedim содержалась уязвимость, которая позволяла внутри функции модифицировать поле размера массива, а потом возвращать результат неуспешности операции, что приводило к увеличению размера буфера с точки зрения самой структуры. Подробнее см. здесь.



    В силу того, что эксплойт для этой уязвимости (Windows OLE Automation Array Remote Code Execution Vulnerability), фактически, может оперировать памятью напрямую, из-за порчи структуры заголовка буфера функцией ОС, ему не нужно прибегать к операциям срабатывания уязвимости типа use-after-free, вся эксплуатация сводится к последовательному исполнению нескольких функций, которые помогают запустить процесс из функции VBScript в обход DEP & ASLR.

    Аналитики нашей антивирусной лаборатории обнаружили эксплуатацию этой уязвимости in-the-wild. Речь идет о компрометации вредоносным содержимым веб-сайта одного популярного новостного агенства Болгарии. Мы наблюдали одну из веб-страниц данного сайта, которая была скомпрометирована и перенаправляла посетителей на установку вредоносной программы с использованием CVE-2014-6332. Внешний вид этой скомпрометированной веб-страницы представлен ниже на скриншоте.



    Исходный HTML-код этой веб-страницы содержит вредоносный iframe, который указывает на страницу установки эксплойта.



    Как видно на скриншоте выше, эксплойт размещен на веб-странице, принадлежащей домену natmasla[.]ru. Он обнаруживается AV-продуктами ESET как Win32/Exploit.CVE-2014-6332.A. Обнаруженный эксплойт основан на proof-of-concept коде, который был опубликован китайским ресерчером. В самом PoC указаны его данные.



    Злоумышленникам не составило труда модифицировать оригинальный PoC для установки в систему своего вредоносного ПО.

    Довольно странно, но сама вредоносная страница содержит код эксплойта два раза. В первом случае полезная нагрузка представляет из себя набор инструкций командного интерпретатора Windows (cmd.exe). Они указаны на скриншоте ниже.



    Как видно, в этом наборе команд присутствует одна их группа с префиксом [at]echo, которая предназначена для записи специальных инструкций в текстовый файл (KdFKkDls.txt, имя файла может отличаться для различных модификаций эксплойта). Эти инструкции предназначаются приложению ftp, которое запускается со специальным ключом -s (взять команды для исполнения из файла). В файл записываются специальные ftp-инструкции, с помощью которых осуществляется подключение к удаленному серверу с заданным именем пользователя и паролем, далее происходит загрузка исполняемого файла и его запуск.

    В случае второй полезной нагрузки, она имеет вид следующих инструкций.



    Видно, что на этот раз для загрузки исполняемого файла с удаленного сервера используется PowerShell.

    Скачиваемая таким образом вредоносная программа обнаруживается AV-продуктами ESET как Win32/IRCBot.NHR. Она имеет в своем арсенале ряд возможностей, включая, организацию DDoS-атак и открытие удаленного доступа на компьютер для злоумышленников.
    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 14

      –3
      Но для этой уязвимости нужно, чтобы пользователь открыл ссылку в Internet Explorer, то есть вероятность эксплуатации этой уязвимости крайне редка. Ну где вы видели пользователей IE?
        +2
        Статистика такая статистика =\
          –4
          7%? Один из 14. Маловероятно.
            +5
            По этой статистике, IE используют более 50%.
            В любом случае, кол-во пользователей IE велико.
              0
              Да и 7% это не только один из 14, это ещё и 189 000 000 человек в мире.
            +1
            В некоторых крупных и не очень компаниях есть нездоровая практика запрещать любые браузеры кроме IE. По непонятным лично для меня причинам там сложно поддерживать актуальность хотя бы 3-4-х альтернативных браузеров.
            • UFO just landed and posted this here
              • UFO just landed and posted this here
                  0
                  Точно, а у некоторых в требованиях светится IE8. Не удивлюсь, что есть люди с требованиями IE7 и IE6
                    0
                    Многий софт для банков делается с поддержкой IE, т.к. это стандарт Windows «из коробки». Из-за соображений того, что IE лучше всего адаптирован в Windows его и используют для работы с разными гос-сайтами, нбки и прочими специализированными финансовыми ресурсами.
                    При этом, на 100% в нормальным банках сотрудники, которые имеют доступ к подобным сайтам, не имеют другого выхода «во вне», т.к. политиками открыты только нужные для подобной работы ресурсы.
                    Так же, думаю, что в большинстве банков у сотрудников либо запрещен вообще выход в инет, либо это делается через интернет-киоск, либо через терминальный доступ. В таком случае риск заражения ничтожно мал.
                    • UFO just landed and posted this here
                        0
                        У бухов должен быть выход в интернет только на те ресурсы, куда они выкладывают свою отчетность. В данном случае риск крайне минимален, поскольку организации, которым принадлежат эти ресурсы за ними следят (я верю в это :))
                          0
                          У нас в связи со спецификой работы (медиахолдинг, хоть и маленький в 100 раб мест), всем можно ходить везде и, мало того, бешеный трафик из вконтактика не считается нецелевым использованием рабочего времени. Про блокирование съемных носителей я вообще молчу, можно отдельное ИТ-подразделение вводить для контроля флешек. А риски существенно возрастают. Но антивирусы на шлюзе, серверах, рабочих местах, а так же тотальное ограничение прав и виндовая SRP с запретом всего, что не разрешено + EMET позволяет существенно снизить риск заражения. В итоге как я вижу одни бухи через ИЕ ходят и то только на клиент-банки. В остальных случаях, неверное все юзают оперу / хром / лису. Поддерживать их актуальность через WSUS проще простого как и любой другой повседневный софт.
                  0
                  Очень не кислый баг. А какие ОС тестились и версии браузеров, или всё уязвимо?

                  Only users with full accounts can post comments. Log in, please.