Донецкий техникум промышленной автоматики

Zero-day і захист від поточних загроз

  1. Вступ
  2. Zero-day в 2006-2009 рр.
  3. Тимчасове рішення щодо усунення вразливостей
  4. проактивний захист
  5. висновок

У цій статті мова піде про уразливість в Microsoft Office Web Components ActiveX компоненті і інших вразливості нульового дня.

Марчук Валерій
Редактор SecurityLab.ru, MVP in Enterprise Security

Вступ

Zero-day або 0-day - це раніше невідома уразливість, яка експлуатується зловмисниками в мережевих атаках. Подібні уразливості ми оцінюємо як критичні і рекомендуємо всім читачам негайно вживати заходів щодо їх усунення.

У цій статті мова піде про уразливість в Microsoft Office Web Components ActiveX компоненті і інших вразливості нульового дня.

Zero-day в 2006-2009 рр.

У період з 2006 по липень 2009 року було виявлено 24 уразливості нульового дня. З них 19 вразливостей в продуктах Microsoft.


Рис.1 Уразливості нульового дня за 2006-2009 рр, статистика SecurityLab. ru

Як видно на Рис. 1, кількість вразливостей нульового дня в першому півріччі 2009 року перевищує загальну кількість вразливостей, виявлених в 2007 і 2008 роках. Це свідчить про підвищення інтересу зловмисників до подібних вразливостей. Не виключено, що саме фінансова криза стала цьому причиною.

* - кількість днів експлуатації уразливості до виходу виправлення визначити не вдається
** - вразливість не усунуто в даний час

На момент написання статті не усунуто 4 уразливості, з них 3 уразливості в продуктах Microsoft і одна в PJBlog3.

Тимчасове рішення щодо усунення вразливостей

  • Уразливість в Microsoft Office Web Components Spreadsheet ActiveX компоненті

Уразливість існує через помилку перевірки границь даних у методі msDataSourceObject () в Office Web Components Spreadsheet ActiveX компоненті. Віддалений користувач може за допомогою спеціально сформованого Web сайту викликати переповнення стека і виконати довільний код на цільовій системі. На даний момент в публічному доступі знаходиться 3 варіанти експлоїта до цієї уразливості.

Уразливі додатки:

  • Microsoft Office XP Service Pack 3
  • Microsoft Office 2003 Service Pack 3
  • Microsoft Office XP Web Components Service Pack 3
  • Microsoft Office 2003 Web Components Service Pack 3
  • Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
  • Microsoft Internet Security and Acceleration Server 2006
  • Internet Security and Acceleration Server 2006 Supportability Update
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
  • Microsoft Office Small Business Accounting 2006

В якості тимчасового рішення для усунення вразливості ми рекомендуємо деактивувати уразливий ActiveX компонент. Для цього встановіть Compatibility Flags в DWORD значення 0x00000400 для ключів

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ ActiveX Compatibility \ {0002E541-0000-0000-C000-000000000046}

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ ActiveX Compatibility \ {0002E559-0000-0000-C000-000000000046}

Або скачайте і запустіть .msi файл ( com/?linkid=9672747> http://go.microsoft.com/?linkid=9672747 ).

  • Виконання довільного коду в Microsoft DirectShow MPEG2TuneRequest ActiveX

Уразливість існує через помилку перевірки границь даних при обробці потокового відео в BDATuner.MPEG2TuneRequest.1 ActiveX компоненті (msVidCtl.dll) в Microsoft DirectShow. Віддалений користувач може за допомогою спеціально сформованого Web сайту викликати переповнення стека і виконати довільний код на цільовій системі.

Уразливості схильні до:

  • Microsoft Windows XP
  • Microsoft Windows 2003

Для усунення вразливості слід деактивувати уразливий ActiveX компонент. Microsoft випустила утиліту, деактивуються CLSID, що відносяться до Microsoft Video ActiveX компоненту. Завантажити .msi файл можна за посиланням:
com/?linkid=9672398> http://go.microsoft.com/?linkid=9672398

проактивний захист

Як проактивного захисту ми рекомендуємо адміністраторам здійснити наступні дії:

  • Заблокувати доступ до доменних імен, з яких встановлюється шкідливе ПЗ. Інструкції з налаштування DNS серверів і список доменів для блокування можна знайти в блозі за адресою http://www.securitylab.ru/blog/personal/tecklord/9228.php
  • Здійснювати моніторинг мереж на предмет спроб експлуатації вразливостей. Приклад правил виявлення вразливостей для Snort IDS:
    • alert tcp $ EXTERNAL_NET $ HTTP_PORTS -> $ HOME_NET any (msg: "Microsoft OWC Spreadsheet 0-day Exploit Attempt"; flow: from_server, established; content: "0002E559-0000-0000-C000-000000000046"; nocase; pcre: " / <OBJECTs + [^>] * classids * = s * [x22x27]? s * clsids * x3as * x7B? s * 0002E559-0000-0000-C000-000000000046 / si "; classtype: attempted-user; sid: 3000900; rev: 1;)
    • alert tcp $ EXTERNAL_NET $ HTTP_PORTS -> $ HOME_NET any (msg: "Microsoft OWC Spreadsheet 0-day Exploit Attempt"; flow: from_server, established; content: "0002E541-0000-0000-C000-000000000046"; nocase; pcre: " / <OBJECTs + [^>] * classids * = s * [x22x27]? s * clsids * x3as * x7B? s * 0002E541-0000-0000-C000-000000000046 / si "; classtype: attempted-user; sid: 3000901; rev: 1;)
    • alert tcp $ EXTERNAL_NET $ HTTP_PORTS -> $ HOME_NET any (msg: "Possible MSVIDCTL.dll exploit attempt"; flow: to_client, established; content: "| 00 03 00 00 11 20 34 |"; content: "| ff ff ff ff 0c 0c 0c 0c 00 | "; within: 70; classtype: trojan-activity; reference: url, www.securitylab.ru / vulnerability / 382197.php; sid: 3000902; rev: 1;)
    • alert tcp $ EXTERNAL_NET $ HTTP_PORTS -> $ HOME_NET any (msg: "Possible MSVIDCTL.dll exploit attempt"; flow: to_client, established; content: "| 00 03 00 00 11 20 34 |"; content: "| ff ff ff ff 0c 0c 0c 0c 00 | "; within: 70; classtype: trojan-activity; reference: url, www.securitylab.ru / vulnerability / 382197.php; sid: 3000903; rev: 1;)

висновок

Ще тільки середина липня, а ми вже спостерігаємо 4 уразливості нульового дня - це максимальна кількість вразливостей нульового дня, виявлених протягом одного місяця за останні 4 роки. Дуже хочеться сподіватися, що липень 2009 є винятком і подібного більше не повториться. Сьогодні Microsoft планує випустити виправлення для уразливості в Microsoft DirectShow MPEG2TuneRequest ActiveX компоненті. Слідкуйте за публікацією вразливостей на SecurityLab.ru.

Com/?
Com/?
S * clsids * x3as * x7B?
S * clsids * x3as * x7B?