Od minulého týdne jsme byli svědky mnoha speciálně vytvořené soubory využívání CVE-2012-0158 a zranitelnosti v MSCOMCTL.OCX v Microsoft Office a některých dalších produktů společnosti Microsoft. Toto zneužití může být provedena v různých formátech, včetně formátu RTF, Word a Excel souborů. Jsme již našli vytvořený RTF a Word soubory ve volné přírodě. V škodlivého RTF, je zranitelný OLE soubor s vestavěnými \ \ objocx objektu a značky.
Následující obrázek ukazuje příklad vytvořený soubor ve formátu RTF obsahující zranitelné OLE soubor. Můžete vidět podpis OLE souboru D0CF11E0. ...
Škodlivý RTF soubor
Po otevření vytvořený soubor s zranitelné aplikace, stejně jako v jiných souborech dokumentů využívají, vidíme nevinného souboru lodě jako návnadu, zatímco v pozadí, jsou instalovány trojské soubory. Zde jsou typické kroky instalace malwaru plynoucí z zranitelné aplikace, Word v tomto příkladu:
1. Vytvořený dokument se otevře aplikace Word procesu.
2. Zneužití této chyby spustí shell kódu v OLE souboru.
3. Shellcode nainstaluje Trojan (y) na oběti stroj. Obvykle je instalován Trojan v následující cestě:
% USERPROFILE% \ Local Settings \ Temp \ (jméno souboru). Exe
4. Shell kód spustit nový proces aplikace Word a otevře jako návnadu nevinného soubor dokumentu, vložené v dokumentu. Typicky návnada souboru klesl na:
% USERPROFILE% \ Local Settings \ Temp \ (jméno souboru). Doc
5. Shellcode ukončí Word proces, který otevřel vytvořený dokument.
Protože kroků 4 a 5, uvidí uživatelé Word ukončete a ihned obnovení s návnadou souboru. Vidíte-li tento příznak, obraťte se na správce systému.
Tyto dokumenty obvykle vyráběné dorazí jako e-mailových příloh. Uživatelé by měli vždy opatrní při otevírání nevyžádaných e-mailů. Dále doporučujeme instalaci nejnovější opravy, od Patch Tuesday dubnové. (Viz Věstník Microsoft pro více informací: http://technet.microsoft.com/en-us/security/bulletin/ms12-027~~HEAD=pobj )
McAfee zjistí tyto škodlivé soubory dokumentů, jako jsou:
- Exploit-CVE2012-0158: Detection pro MS Office soubory, jako je MS Word a MS Excel
- ! Exploit-CVE2012-0158 rtf: RTF soubory, které obsahují citlivé OLE kontejnery
Žádné komentáře:
Okomentovat