本帖最后由 开开 于 2010-11-5 17:25 编辑
IE远程代码执行零日漏洞预警公告
安天实验室
2010.11.05
一、 事件概述
2010年11月3日,微软发布了2458511号安全公告,指出其Internet Explorer浏览器中存在一个新的零日漏洞。安天实验室在第一时间响应此次事件、对漏洞以及相关病毒样本展开分析,并上报国家有关部门。
这个漏洞出现在IE浏览器处理网页中特定的样式表标签时。触发后,网页中嵌入的恶意代码将在用户的计算机上直接运行,攻击者可以藉此开启后门、下载其他病毒、远程控制主机等。截止本报告发布时,安天已经检测到有实际的攻击网页利用此漏洞下载木马。预计在未来一段时间,还会有利用这一漏洞挂马的其他网站出现。
IE浏览器的6、7、8三个版本均存在这一漏洞。今年下半年发布的IE9测试版、开启了DEP(数据执行保护)的IE8则不受影响。微软已经针对这次事件发布了临时解决方案。
二、 漏洞细节
1. 原理
漏洞发生在微软Internet Explorer浏览器解析网页中特定构造的CSS(层叠样式表)代码时。为了存储CSS标签,IE浏览器需要先为其分配内存。对某些组合的CSS标签,IE分配的内存不足,引发边界条件错误,因而攻击者可以利用这一错误覆盖虚函数指针表中的一个字节,从而引发网页中嵌入的shellcode的执行,其权限为当前登录用户的权限。
图1 触发漏洞的代码片段
触发漏洞的一部分代码如图1所示。
安天实验室将对这一漏洞的具体原理展开进一步的技术分析。
2. 实际利用
目前,已经有恶意网页利用了这一漏洞来下载木马。
图2 利用漏洞的网页截图
该网页打开后表面上是显示一段联系信息(图2),实际上其中的shellcode会被执行,转到到下列地址下载文件到本地(该地址已经失效):
http://www.hpgunclub.com/reg/linkbl.gif
该文件长122,368字节,MD5为0A9FCDD2F9EFF6CBFFE1B45486D27A9C。接下来,正在被执行的shellcode会读取文件内容,将其解密,释放得到的PE文件到本地计算机,并启动运行。
三、 解决方案
截止本报告发布,微软尚未给出这一漏洞的正式补丁,但提供了临时防范方案如下:
1. 安装增强缓解体验工具包(EMET)
下载地址是:
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409
安装完成后,还需要运行这一工具包,将IE添加到保护范围中,方法如下:
在主界面选择“Configure Apps”,在对话框中点击“Add”,定位至IE所在的安装目录(通常是C:\Program Files\Internet Explorer\),选择 iexplore.exe,点击“打开”,回到主界面点击“OK”就完成了。如果IE正在运行,需要将其重启一下。
2. 开启IE浏览器的DEP(数据执行保护)功能
DEP是微软使用的一套安全保护技术,能够在内存上执行额外检查以防止恶意代码在系统上运行。默认情况下,IE8已经开启了DEP。对IE6和IE7用户,可以采用下列方法之一来开启:
(1) 下载安装微软提供的开启DEP补丁,地址是:
http://download.microsoft.com/do ... osoftFixit50285.msi
(2) 手工开启全局DEP
对于Windows XP用户,如果之前没有手工调整过DEP策略,请点击开始菜单的“运行”,输入“sysdm.cpl”,点击“确定”。点击“高级”分页,然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页,选择“除所选之外,为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。
四、 安全建议
1. 建议将IE6升级至更高版本,或使用Firefox、Chrome等浏览器。IE6技术较为陈旧,安全防范力度不高,在以往的安全事件中最常受到攻击。
2. 随时为IE浏览器开启DEP。国内一些使用盗版操作系统的用户,尤其要注意盗版系统通常是默认不开启DEP的。
3. 为计算机安装杀毒软件和防火墙,并开始实时监控,定期升级病毒库并进行病毒扫描。
附录
安天应急响应时间表
2010.11.03 赛门铁克公司发现某一样本中使用了IE浏览器的一个新漏洞。
微软发布2458511号安全公告,宣布这一漏洞的存在。
2010.11.04 安天实验室开始对这一漏洞展开分析。
微软发布临时解决方案。
安天实验室将漏洞情况上报国家计算机应急技术处理协调中心(CNCERT/CC)和国家信息安全漏洞共享平台(CNVD)。
exploit-db给出漏洞利用验证代码(PoC)。
2010.11.05 CNCERT/CC和CNVD发布这一漏洞的安全公告。
安天实验室发布相关预警公告
受影响的浏览器版本
受此漏洞影响的浏览器和操作系统如下:
Internet Explorer 6
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Internet Explorer 7
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Internet Explorer 8
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Vista Service Pack 1 and Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems
相关网址
 微软安全公告
http://www.microsoft.com/technet/security/advisory/2458511.mspx
 微软临时解决方案
http://support.microsoft.com/kb/2458511#FixItForMe
 赛门铁克公司相关分析报告
http://www.symantec.com/connect/ ... ed-targeted-attacks
 国家计算机应急技术处理协调中心(CNCERT/CC)安全公告
http://www.cert.org.cn/articles/ ... 2010110525180.shtml
 国家信息安全漏洞共享平台(CNVD)安全公告
http://www.cnvd.org.cn/notifications/116
 漏洞CVE地址
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3962 | 
发表于 2010-11-5 17:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
