Такой опасный Internet Explorer…

    Ещё не начался у нас настоящий листопад, а уязвимости нулевого дня посыпались как осенние листья. Сколько времени прошло с выявления последней 0-day уязвимости (в Java SE 7) – менее трёх недель? И вот уже новая, и не менее интересная уязвимость – удалённое выполнение произвольного кода во всех версиях Microsoft Internet Explorer (с 6 по 9) на всех версиях ОС Windows – от 98 до 7.

    В общих чертах она уже была описана в этом посте. Я расскажу подробнее о том, как работает эксплойт, каковы его истоки, и поделюсь мнением о том, что со всем этим делать…

    Новую уязвимость «раскопали», изучая работу C&C-серверов, с которых осуществлялась атака по уязвимости Java SE 7. Один из них (223.25.233.244) был известен ещё с проведения атаки в июле-сентябре 2011 года китайской группой Nitro на химическую отрасль с целью хищения интеллектуальных ценностей – формул, описаний химических процессов и пр. В дальнейшем, он участвовал и в других атаках. В зоне внимания исследователей находилось также несколько инфицированных серверов, используемых группой Nitro. 14 сентября на одном из них, расположенном в Италии, появилась новая папка со следующим содержимым:



    Данные файлы были нами протестированы на полностью обновлённом сервере Microsoft Windows XP Pro SP3 с последней версией Adobe Flash (11,4,402,265). В качестве сюрприза обнаружились дополнительно загруженные на тестовый компьютер файлы. Проверка изучаемых файлов на ресурсе «VirusTotal» дала нулевой результат – ни один из антивирусов не опознал в них вредоносный код.

    Анализ показал, что эксплойт состоит из 4 основных компонентов:

    1. Файл «Exploit.html» – точка старта и предварительная подготовка эксплойта. После создания необходимых условий для эксплуатации уязвимости запускает флэш-файл «Moh2010.swf».
    Symantec детектирует этот процесс как Bloodhound.Exploit.474

    2. «Moh2010.swf» отвечает за скрытую загрузку исполняемого кода. После загрузки вредоносного кода он запускает открывающий уязвимость файл «Protect.html» в окне iFrame.
    Symantec детектирует этот процесс как Trojan.Swifi.

    3. Файл «Protect.html» является открывающим триггером данной уязвимости, отвечая за выполнение загруженного с помощью «Moh2010.swf» вредоносного кода.
    Symantec также детектирует этот процесс как Bloodhound.Exploit.474.

    4. Загруженный вредоносный код подкачивает дополнительные вредоносные программы и запускает их на скомпрометированной системе.
    Symantec детектирует эти вредоносные программы как Trojan.Dropper и Backdoor.Darkmoon.

    Таким образом выяснилось, что Microsoft Internet Explorer содержит уязвимость, позволяющую удалённо выполнять на компьютере пользователя произвольный код в контексте прав пользователя, что уже подтверждено производителем – компанией Microsoft.

    И что теперь делать? Удариться в панику, и как правительство Германии отказаться от использования IE? Тогда обратите внимание на то, что одна 0-day уязвимость появилась на свет вслед за другой, причём в руках одной и той же преступной группы. И не факт, что не появится что-нибудь ещё. И не обязательно для интернет-браузеров. Думаю, что исключая один программный продукт за другим, мы не придём к безопасной вычислительной среде, если только не перейдём на счёты.

    Напротив, предлагаю быть разумными людьми и опираться на лучшие практики:

    • использовать для работы с интернетом специальную учётную запись с минимально необходимыми правами;
    • обязательно устанавливать выпускаемые обновления программного обеспечения и
    • всегда держать средства защиты в актуальном состоянии.

    Удачи на просторах интернета!

    Андрей Зеренков, Symantec Russia
    Symantec
    0.00
    Company
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 68

      –1
      А предсатвьте что больше не будет IE. Правда круто?)
        +49
          –3
          Забавно, мой коммент все плюсуют, а карму с такой же интенсивностью заминусовали. Кто-нибудь мне объяснит, что происходит?
            +1
            Это разработчики IE мстят.
              –3
              Судя по подчерку — они!
                +5
                поДчерку? o_O
                  +1
            0
            В чём крутость-то? Расскажите, я правда не понимаю.
              +1
              Ну, например в том, что в даже десятой версии полно неприятных моментов, который будут нервировать и пользователей и разработчиков.
                –1
                а где их нет?
                  +6
                  Их например, гораздо меньше в Chrome и Firefox. Утверждать, что их где то нет было бы глупо.
                    –6
                    Не-не, Firefox тоже под снос. С его тормозами и навязчивой системой обновления версии без бэк-саппорта аддонов.
                      +2
                      ну сколько можно? это все давно уже не так…
                        0
                        Обновился три дня назад, отвалился Касперский URL adviser. Все еще так,)
                        Это настолько же постоянно, как не дотягивающиеся до края экрана вкладки у оперы)
                          0
                          попробуйте Add-on Compatibility Reporter addons.mozilla.org/en-US/firefox/addon/add-on-compatibility-reporter/
                            0
                            Вы понимаете, что чтобы получить то, что должно быть по умолчанию (а один из топовых комментариев так и говорит: «by V@no on September 13, 2012 ...In fact I believe this should be a built-in feature of the browser itself!»), я должен догадаться НАЙТИ это среди всей толпы дополнений?

                            Да, это не трудно, можно догадаться, можно нагуглить, но это нихрена не user friendly и наплевательское отношение со стороны разработчиков, особенно, если уже существуют примеры как сделать так, чтобы было хорошо, которых они в упор не видят.
                      –1
                      Гораздо меньше — это дело такое, смотря какие инструменты вы используете. А IE10 хорошо (если сравнивать с прошлыми версиями) и достаточно конкурентоспособен (если сравнивать с другими браузерами). Так, что я предпочитаю что бы он все-таки был, чем его бы не было.
                      А вот вымиранее более ранних версий вот это поскорее бы.
                        +1
                        Почему-то я аналогичные слова слышал и про IE7, IE8...IEn
                          0
                          Слышать Вы могли что угодно. Я работаю с IE 10, и для разработки на JavaScript вполне конкурентоспособен с остальными браузерами.
                          Возможно с версткой другая ситуация.
                            0
                            Я тоже с ним работаю, а ещё дома сижу под ним, так как оставил его в Win8 по умолчанию. После Firefox и Chrome это ад в мелочах. То, что по определению работает в других браузерах и ты подумать не можешь, что это может не работать — бац! И вот так.
                              +1
                              А можно подробнее, примеры, я не совсем понимаю что вас атк раздражает.
                              И надо еще брать поправку на то, что это не финальный билд.
                          0
                          Не столько в инструментах дело, сколько в их развитии, и развитии новых технологий. Сколько версий IE потребовалось что бы ввести CSS3?! Ведьдь могли частично (хотя бы border-radius например) ввести в 7 версии, на тот момент они уже работали в в лисе и хроме, правда многие свойства были в тестовом режиме, но все же как облегчали жизнь!

                          Так что им нужно работать над актуальностью своих продуктов. Или можно было бы организовать прозрачное обновление как в хроме, тогда бы возможно эти проблемы отпали бы сами собой
                            +1
                            Вообще-то в 10IE и так тихий апдейт. А по поддержке стандартов он не уступает остальным игрокам.
                            Загляните на html5labs.com и посмотрите как там дела идут.
                            И еще вот на заметку http://www.nczonline.net/blog/2012/08/22/the-innovations-of-internet-explorer/
                            Так что хватит тупо гнать волну, включайте мозг.
                              –1
                              Так я о том и говорю. Солько они шли к этому тихому апдейту? Частичная поддержка CSS3 появилась только в 9 эксплорере.
                              По этому разработчики его и не навидит, о всегда последний вводит новшества которые давно реализованы и используются в щругих браузерах! Даже на сегоднешний день в бою упорно учавствую IE 7, 8, 9 на которых замечу нету тихого апдейта, и скоторыми нужно считаться, а это парой ой как не просто и отнимает очень много времени
                                +1
                                Да у них было долгое время застое, и есть за что их ненавидеть. Но все же ен вижу смысла оглядываться в прошлое.
                                Давайте смотреть на текущий продукт — IE 10, на мой взгляд пока что его ненавидеть не за что.
                                  0
                                  Просто я вынужден оглядываться назад, иначе у меня просто перестанут принимать работу. Сейчас 10 эксплорер на 1% машин даже не установлен. И пройдет еще не мало лет пока мы начнем забывать о 7 эксплорере, и еще столько же для 8 (вспомним IE 6 а ведь он до сих пор в обиходе и не редко сним тоже приходится считаться)
                                    –1
                                    Да, я вас понимаю, но главное что на горизонте есть что-то светлое :)
                                      –1
                                      Будем надеятся на светлое будущее, и не будем забывать про страшное прошлое и смутное настоящее)
                                        +1
                                        Светлое окно Uninstall IE :)
                            +1
                            Это кто что использует. Меня раздражает, что Хром до сих пор не умеет сложные CSS3-селекторы.
                              0
                              например?
                                0
                                Вложенные в :target, например. Это известная штука, мне лень сейчас придумывать примеры. Вебкитовцы сказали, что не могут придумать как сделать это с хорошей скоростью, поэтому делать этого не будут.
                          +2
                          Вы думаете в Вебките проблем нет? Да там они нервируют разработчиков чуть ли не больше всех. Хром последние полгода просто удивляет тупыми багами, например белым фоном под чекбоксом, не говоря уж о падающем встроенном флеше. Firefox тоже за десять лет всё не сделает поддержку, например, box-sizing. Увы, идеального браузера нет и близко, у всех свои немаленькие недостатки.
                          • UFO just landed and posted this here
                              –2
                              -moz-box-sizing, не?
                                +2
                                Да, теперь подумайте, почему там до сих пор префикс.
                                0
                                Белый фон это еще что. Совсем недавно напоролись на баг с getElementsByTagName — из-за опечатки в коде webkit при рефакторинге, перестал сбрасываться кеш при модификации dom дерева. Очень глупый баг на ровном месте, там где его в принципе не могло быть. Не сложно представить последствия для динамических страниц, которые используют это метод. В webkit баг оперативно закрыли, но врелиз 22го хрома он попал.
                                Это ладно хром часто обновляется. А ведь есть множество других браузеров на webkit, которые могли «забрать» этот баг в свою сборку…
                          +11
                          Существует стратегия, отлаженная и проверенная миллиардами лет эволюции — биологическое разнообразие. Не используйте софт, который является самым популярным — и вы в разы снижаете вероятность атаки на себя.
                            +6
                            Про миллиарды лет вы загнули, конечно. Но в целом да — сижу себе под линуксом и смеюсь)
                              +3
                              Миллиарды лет — это эволюции.
                                0
                                А, тогда ладно)
                            –9
                            >>>• использовать для работы с интернетом специальную учётную запись с минимально необходимыми правами;

                            Хотел бы я посмотреть на такого человека.
                              +16
                              Вот смотрите на меня, например.
                                +3
                                у меня интернеты в виртуальной машине, ничего страшного в этом нет… проблем не замечаю, запись ограничена, да
                                • UFO just landed and posted this here
                                  0
                                  Бухгалтерии нужен ослик, чтобы работать с банк-клиентами. У всех учетки зарезаны.
                                    +5
                                    Для нового ООО специально выбирали банк с адекватным клиент-банком работающим везде.
                                    Т.к. условия обслуживания фактически у всех одинаковые.
                                      +1
                                      Бешенно плюсую.
                                    0
                                    Таких больше, чем Вы можете подумать. Особенно на Хабре.
                                      +3
                                      А в чем проблема-то,
                                      runas /user:WithoutRights /savecred iexplore
                                      Обрезаем все права, кроме писать в download-папку. profit.
                                        0
                                        Ну я такой человек, машина ещё и удалённая.
                                          0
                                          Многие ITшники работают с правами непривелегированного пользователя.
                                          Потому, что это правильно.
                                          Мало того, некоторые программы даже противятся запуску из-под административной учетной записи.
                                          +4
                                          Вот и ещё одно штатное средство удалённого администрирования в арсенале спецслужб оказалось коварно рассекречено в результате злонамеренных действий преступного формирования.

                                          stalkyard ~ # eselect paranoic_mode set on
                                          

                                            0
                                            К еще вариантам лучшей практики я бы добавил использование песочницы для запуска браузера и не только.
                                              –1
                                              Буквально вчера, на телеканале 2x2 я видел рекламу IE от MS. Это заговор?
                                                –3
                                                "• использовать для работы с интернетом специальную учётную запись с минимально необходимыми правами;"

                                                Брить головы налысо и обмазывать вазелином — это не даст насильнику схватить вас за волосы и, таким образом, снижает риск изнасилования.
                                                  –3
                                                  Запустите патч Бармина под рутом, потом поговорим.
                                                  –4
                                                  Статья (если ее можно так назвать) бред! 0-day уязвимость java 7 касается всех браузером! Это тупая антиреклама!
                                                    +1
                                                    Вы прочитали внимательно? java 7 была три недели назад, сейчас exploit в самом ie, причем во всех версиях ie и во всех версиях win.
                                                      –5
                                                      Я читать умею. И в других браузерах полно разных дыр. И на данный момент самый дырявый браузер Хром. И я уверен эта статья оплачена Гуглом, чтобы отвлечь внимание от их. Я юзаю Лиса с момента его выхода. А то что в Осле есть дыры никто не удивляется., но название статьи это идиотизм. Если руки прямые и браузер безопасный. А компанию «Symantec» антивирусной можно назвать только в кавычках, потому что их продукты давно показали их истинное лицо. И рассуждать от компетентности других компаний далеко не им. Я не фанат Осла, но мне обидно, что продукт который когда-то был фаворитом на рынке браузеров поливают грязью. Пусть сначала сделают свой браузер, а то даже дерьмоед российского рынка ПО Майл.Ру Групп выпустили браузер на исходниках Хромиума.
                                                      Кстати десятый осел неплох, просто нужно его избавить от возможности установки дополнений без участия пользователя.
                                                      А дырки есть везде, без них скучно. :)
                                                        –1
                                                        Хороша только полная чушь.
                                                      +2
                                                      >Symantec is a Microsoft Global Gold Certified Partner with a long history of securing…
                                                      www.symantec.com/partners/programs/globalstrategic/gsp.jsp?id=microsoft

                                                      как говорится-за что же, не боясь греха, кукушка хвалит петуха…
                                                      0
                                                      Обновить IE теперь просто как никогда ранее.
                                                        +3
                                                        Вот хоть убейте не понимаю, как такая огромная компания как Microsoft не может написать нормальный браузер… Уже с нуля можно было бы 100 раз все переделать.
                                                          0
                                                          Не стоит переживать по этому поводу. Если бы вы «понимали», то это вполне потянуло бы на нобелевку, imho.
                                                          Проблем тут даже не вагон, а полигон. Начиная от «огромная компания» и «нормальный браузер», заканчивая «все переделать».

                                                          Если абстрагироваться от деталей и добавить каплю фантазии, то современный браузер близок к ОС. Думаю, в том числе и поэтому G начали разработку chrome Os — большАя часть задач ОС уже реализуется их браузером, осталась малость. Относительно, конечно.

                                                          Если хочется поглубже узнать проблему я рекомендую весьма занятное чтиво Брукс «Мифический человеко-месяц». Лучше последнее издание, где автор спустя годы оценивает свои старые выкладки. Очень интересно.

                                                            0
                                                            Тут всё просто — если компания такая огромная и с таким браузером, значит — «так надо» ©. Вот например: учёные из Microsoft выяснили логику естественного отбора аудитории. Не будет же компания строить свою корпоративную политику вопреки научным изысканиям? ))
                                                            0
                                                            Думаю, наиболее правильно было бы иметь возможность устанавливать браузерам права доступа на уровне ОС.
                                                              0
                                                              Вывод: пользоваться IE реально опасно.
                                                              Я верстальщик. Я не хочу извращаться с глюками и проблемами IE (ныне 8 и 9), я хочу HTML5, CSS3 и Canvas!

                                                              Only users with full accounts can post comments. Log in, please.