| ثغرة Remote Code Execution في جميع اصدارات متصفح IE |
| الكاتب عبدالمهيمن الآغا |
| الجمعة, 15 يناير 2010 00:07 |
|
نشرت شركة مايكروسوفت بتاريخ اليوم نشرة أمنية عاجلة لتحذير المستخدمين بوجود ثغرة 0-Day من نوع Remote Code Execution في جميع اصدارات متصفح Internet Explorer. يتمكّن المهاجم من اختراق جهاز المستخدم بعد توجيهه لصفحة تحتوي على أكواد ضارّة تقوم بتخريب ذاكرة المتصفح وحقن كود يؤدي لاختراق الجهاز عن بعد.
تم التبليغ عن هذه الثغرة بواسطة كل من Google , Adobe , MANDIANT وشركة McAfee الأمنية ايضاً بعد تعرض الشركات السابقة وأكثر من 20 شركة أمريكية أخرى لهجمات قوية مصدرها الصين. وحسب التدوينة التي نشرتها Google سابقاً, الصينيون استخدموا هذه الثغرة لاختراق حسابات Gmail لعدد من النشطاء الصينيون لحقوق الانسان. يعود سبب الثغرة لوجود خطأ برمجي في معالج صفحات HTML بمتصفح Internet Explorer حيث يتمكّن المهاجم من تخريب ذاكرة المتصفح لحقن Shellcode يمكّنه من اختراق جهاز المستخدم والتحكم به بشكل كامل عن بعد. حتى الآن لم نشاهد انتشار استغلال علني للثغرة السابقة وبحسب مايكروسوفت تم اكتشاف استخدام محدود لاستغلال يستهدف Internet Explorer 6 فقط مع العلم أن مايكروسوفت صرّحت بأن جميع اصدارات متصفح Internet Explorer منذ الاصدار 6 وحتى 8 مصابة بهذه الثغرة ويمكن استغلالها على جميع أنظمة Windows (XP , SERVER , VISTA وحتى SEVEN). لكن في Windows XP SP3 , Windows VISTA SP1 و Windows 7 وبمتصفح Internet Explorer 8 خاصيّة Data Execution Prevention تكون مفعّلة بشكل افتراضي بالمتصفح. خاصية DEP وضعت لتمنع استغلال ثغرات Buffer Overflow في المتصفح وعلى أنظمة Windows لكننا لا نستطيع اعتبارها حل نهائي لوجود طرق تمكّننا من تخطيها. بمعنى آخر هذه الخاصية ستصعّب استغلال الثغرة لكنها غير قادرة على منعه بشكل كامل. بالنسبة لمستخدمي نظام ويندوز XP SP 2 والاصدارات الأقدم من متصفح Internet Explorer فعليهم تفعيل خاصيّة DEP بشكل يدوي باستخدام اصلاح موقّت من مايكروسوفت لتفعيل هذه الخاصية يمكن تحميله من هنا.
لمزيد من المعلومات: Microsoft KB979352 - Microsoft Security Advisory 979352 - CVE-2010-0249 تحديث: انتشر كود استغلال الثغرة بشكل علني يستهدف الاصدار 6 من متصفّح Internet Explorer بالاضافة للاصدار 7 في حال كانت خاصيّة DEP معطّلة بالنظام, مشروع ميتاسبلويت أضاف الاستغلال للمشروع ويمكن الحصول عليه من هنا أو عند تحديث المشروع. للاطلاع على الاستغلال المنتشر: aurora_ie_exploit - ie_aurora.py
إضافة إلى المفضلة
مشاركة
إرسال إلى صديق
المشاهدات: 4506 التعليقات (11)
  أرسلت بواسطة: عبدالكريم العنزي في January 15, 2010
"خيبه" جديدة من خيبات الانترنت اكسبلور المعهوده !
 أرسلت بواسطة: باحث عن المعرفة في January 15, 2010
فقط للتوضيح: ما تمّ استخدامه في الهجمات المتتالية على الشركات لم يكن فقط بسبب انترنت اكسبلور حتى لا نبدأ هنا بمعركة انترنت اكسبلور ضد فايرفوكس ضد اوبرا. الهجمات كانت بطريقة معقدة وتستخدم عدة ثغرات 0-day وموجّهة بشكل انتقائي وليس عشوائي. الهجمات ضد غوغل ادت الى سرقات لما يعرف ب intellectual property وغوغل لمن يعرف لا تستخدم ويندوز لحفظ حقوقها الفكرية.
شركة مكافي احدى الشركات التي حققت في الموضوع ذكرت الاتي: While we have identified the Internet Explorer vulnerability as //one// of the vectors of attack in this incident, many of these targeted attacks often involve a cocktail of zero-day vulnerabilities combined with sophisticated social engineering scenarios. So there very well may be other attack vectors that are not known to us at this time.
 أرسلت بواسطة: s6ot في January 15, 2010
الف شششكر استاذ عبد المهين علي الخبر
بس هل توجد اكواد لي التجربه الشخصيه موفق حبيبي ~
 أرسلت بواسطة: عبد الصمد في January 15, 2010
مشكور على الخبر
أردت أن أوضح ان تفعيل dep ليس حلا... لأن الإستغلال يستخدم طريقة تخطي DEP+ASLR بإستخدام .NET dll library لأن المتصفح IE يسمح بدمج وسوم object بها تلك dll تتخطى DEP لأن لما نعمل allocation لقسم من الذاكرة سيكون RWX يعني قابل للقراءة التنفيذ و الكتابة. و زد على ذلك أنها لا تعطي رسالة تحذير مثل التي في activeX
 أرسلت بواسطة: عبدالمهيمن في January 16, 2010
حسب تصريحات McAfee بتاريخ اليوم عدد الشركات الأمريكية التي تعرضت للهجوم بدءً من الشهر الماضي يقدّر بثلاثين شركة من ضمنهم Google و Adobe وثغرة Internet Explorer هي الثغرة الوحيدة التي استخدمت.
According to Dmitri Alperovitch, vice president of threat research at McAfee, the unpatched vulnerability in IE was the only exploit used to hack into several of the companies attacked starting last month.
أرسلت بواسطة: باحث عن المعرفة في January 16, 2010
قمت بتجربة كود استغلال الثغرة على بعض الانظمة وهذه هي النتيجة:
ويندوز 2003 خدمة 1 تنصيب من القرص بدون أي تحديثات ومتصفح اكسبلور الاصدار السادس النتيجة انهيار المتصفح بدون الحصول على سطر الاوامر ويندوز 2003 خدمة 2 تنصيب من القرص محدّث ومتصفح اكسبلور الاصدار الثامن النتيجة فشل في فتح الصفحة فقط بدون انهيار ولم يتم الحصول على سطرالاوامر ويندوز 7 محدّث ومتصفح اكسبلور الاصدار الثامن لم يحدث انهيار ولم يتم الحصول على سطر الاوامر. في جميع الاختبارات اعلاه انترنت اكسبلورر كان بالاعدادات الافتراضيّة. السؤال الذي يطرح نفسه هنا كيف شركة مثل غوغل تمّ اختراقها بثغرة في متصفح انترنت اكسبلورر والثغرة تتطلب زيارة او النقر على ملف او صفحة مشبوهة؟ الا يستعملون متصفّح كروم في غوغل؟ :-)
أرسلت بواسطة: باحث عن المعرفة في January 16, 2010
تصحيح للنتيجة على ويندوز 7
انهار المتصفح (8) و برنامج مكافحة الفيروسات من مايكروسوفت قام بالتّصدّي (:)) لها. لم يتم الحصول على سطر الاوامر
 أرسلت بواسطة: XP10 في January 17, 2010
اسمح الردود السابقة
http://www.exploit-db.com/exploits/11151 & http://www.exploit-db.com/exploits/11160 قبل شوي نزلت بالمناسبة في ثغرة بسكربت ورد بريس والنيوك من نوع كوماند http://www.xp10.me/xp10/showthread.php?t=42125
 أرسلت بواسطة: mrloong في January 18, 2010
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .
على المعلومات القيمة
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
