找回密码
 注册创意安天

IE远程代码执行零日漏洞预警公告

[复制链接]
发表于 2010-11-5 17:24 | 显示全部楼层 |阅读模式
本帖最后由 开开 于 2010-11-5 17:25 编辑

IE远程代码执行零日漏洞预警公告
安天实验室
2010.11.05

一、        事件概述
2010年11月3日,微软发布了2458511号安全公告,指出其Internet Explorer浏览器中存在一个新的零日漏洞。安天实验室在第一时间响应此次事件、对漏洞以及相关病毒样本展开分析,并上报国家有关部门。
这个漏洞出现在IE浏览器处理网页中特定的样式表标签时。触发后,网页中嵌入的恶意代码将在用户的计算机上直接运行,攻击者可以藉此开启后门、下载其他病毒、远程控制主机等。截止本报告发布时,安天已经检测到有实际的攻击网页利用此漏洞下载木马。预计在未来一段时间,还会有利用这一漏洞挂马的其他网站出现。
IE浏览器的6、7、8三个版本均存在这一漏洞。今年下半年发布的IE9测试版、开启了DEP(数据执行保护)的IE8则不受影响。微软已经针对这次事件发布了临时解决方案。
二、        漏洞细节
1.        原理
漏洞发生在微软Internet Explorer浏览器解析网页中特定构造的CSS(层叠样式表)代码时。为了存储CSS标签,IE浏览器需要先为其分配内存。对某些组合的CSS标签,IE分配的内存不足,引发边界条件错误,因而攻击者可以利用这一错误覆盖虚函数指针表中的一个字节,从而引发网页中嵌入的shellcode的执行,其权限为当前登录用户的权限。
图1  触发漏洞的代码片段.jpg
图1  触发漏洞的代码片段

触发漏洞的一部分代码如图1所示。
安天实验室将对这一漏洞的具体原理展开进一步的技术分析。
2.        实际利用
目前,已经有恶意网页利用了这一漏洞来下载木马。
图2 利用漏洞的网页截图.jpg
图2  利用漏洞的网页截图

该网页打开后表面上是显示一段联系信息(图2),实际上其中的shellcode会被执行,转到到下列地址下载文件到本地(该地址已经失效):
http://www.hpgunclub.com/reg/linkbl.gif
该文件长122,368字节,MD5为0A9FCDD2F9EFF6CBFFE1B45486D27A9C。接下来,正在被执行的shellcode会读取文件内容,将其解密,释放得到的PE文件到本地计算机,并启动运行。
三、        解决方案
截止本报告发布,微软尚未给出这一漏洞的正式补丁,但提供了临时防范方案如下:
1.        安装增强缓解体验工具包(EMET)
下载地址是:
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409
安装完成后,还需要运行这一工具包,将IE添加到保护范围中,方法如下:
在主界面选择“Configure Apps”,在对话框中点击“Add”,定位至IE所在的安装目录(通常是C:\Program Files\Internet Explorer\),选择 iexplore.exe,点击“打开”,回到主界面点击“OK”就完成了。如果IE正在运行,需要将其重启一下。
2.        开启IE浏览器的DEP(数据执行保护)功能
DEP是微软使用的一套安全保护技术,能够在内存上执行额外检查以防止恶意代码在系统上运行。默认情况下,IE8已经开启了DEP。对IE6和IE7用户,可以采用下列方法之一来开启:
(1)        下载安装微软提供的开启DEP补丁,地址是:
http://download.microsoft.com/do ... osoftFixit50285.msi
(2)        手工开启全局DEP
对于Windows XP用户,如果之前没有手工调整过DEP策略,请点击开始菜单的“运行”,输入“sysdm.cpl”,点击“确定”。点击“高级”分页,然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页,选择“除所选之外,为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。
四、        安全建议
1.        建议将IE6升级至更高版本,或使用Firefox、Chrome等浏览器。IE6技术较为陈旧,安全防范力度不高,在以往的安全事件中最常受到攻击。
2.        随时为IE浏览器开启DEP。国内一些使用盗版操作系统的用户,尤其要注意盗版系统通常是默认不开启DEP的。
3.        为计算机安装杀毒软件和防火墙,并开始实时监控,定期升级病毒库并进行病毒扫描。
附录
安天应急响应时间表
2010.11.03        赛门铁克公司发现某一样本中使用了IE浏览器的一个新漏洞。
        微软发布2458511号安全公告,宣布这一漏洞的存在。
2010.11.04        安天实验室开始对这一漏洞展开分析。
        微软发布临时解决方案。
        安天实验室将漏洞情况上报国家计算机应急技术处理协调中心(CNCERT/CC)和国家信息安全漏洞共享平台(CNVD)。
        exploit-db给出漏洞利用验证代码(PoC)。
2010.11.05        CNCERT/CC和CNVD发布这一漏洞的安全公告。
        安天实验室发布相关预警公告
受影响的浏览器版本
受此漏洞影响的浏览器和操作系统如下:
Internet Explorer 6
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Internet Explorer 7
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Internet Explorer 8         
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
相关网址
        微软安全公告
http://www.microsoft.com/technet/security/advisory/2458511.mspx
        微软临时解决方案
http://support.microsoft.com/kb/2458511#FixItForMe
        赛门铁克公司相关分析报告
http://www.symantec.com/connect/ ... ed-targeted-attacks
        国家计算机应急技术处理协调中心(CNCERT/CC)安全公告
http://www.cert.org.cn/articles/ ... 2010110525180.shtml
        国家信息安全漏洞共享平台(CNVD)安全公告
http://www.cnvd.org.cn/notifications/116
        漏洞CVE地址
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962
发表于 2010-11-5 21:13 | 显示全部楼层
收到 感谢安天防线的提示
回复

使用道具 举报

发表于 2010-11-5 21:35 | 显示全部楼层
收到,谢谢提示。
回复

使用道具 举报

发表于 2010-11-6 15:17 | 显示全部楼层
谢谢提示
回复

使用道具 举报

发表于 2010-11-6 16:44 | 显示全部楼层
收到了,谢谢了哈
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-21 19:35

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表