أخبار الثغرات

ثغرة Remote Code Execution في جميع اصدارات متصفح IE

تم أرشفة هذا المحتوى


نشرت شركة مايكروسوفت بتاريخ اليوم نشرة أمنية عاجلة لتحذير المستخدمين بوجود ثغرة 0-Day من نوع Remote Code Execution في جميع اصدارات متصفح Internet Explorer. يتمكّن المهاجم من اختراق جهاز المستخدم بعد توجيهه لصفحة تحتوي على أكواد ضارّة تقوم بتخريب ذاكرة المتصفح وحقن كود يؤدي لاختراق الجهاز عن بعد.

Microsoft Internet Explorer

 

تم التبليغ عن هذه الثغرة بواسطة كل من Google , Adobe , MANDIANT وشركة McAfee الأمنية ايضاً بعد تعرض الشركات السابقة وأكثر من 20 شركة أمريكية أخرى لهجمات قوية مصدرها الصين. وحسب التدوينة التي نشرتها Google سابقاً, الصينيون استخدموا هذه الثغرة لاختراق حسابات Gmail لعدد من النشطاء الصينيون لحقوق الانسان.

يعود سبب الثغرة لوجود خطأ برمجي في معالج صفحات HTML بمتصفح Internet Explorer حيث يتمكّن المهاجم من تخريب ذاكرة المتصفح لحقن Shellcode يمكّنه من اختراق جهاز المستخدم والتحكم به بشكل كامل عن بعد.

حتى الآن لم نشاهد انتشار استغلال علني للثغرة السابقة وبحسب مايكروسوفت تم اكتشاف استخدام محدود لاستغلال يستهدف Internet Explorer 6 فقط مع العلم أن مايكروسوفت صرّحت بأن جميع اصدارات متصفح Internet Explorer منذ الاصدار 6 وحتى 8 مصابة بهذه الثغرة ويمكن استغلالها على جميع أنظمة Windows (XP , SERVER , VISTA وحتى SEVEN). لكن في Windows XP SP3 , Windows VISTA SP1 و Windows 7 وبمتصفح Internet Explorer 8 خاصيّة Data Execution Prevention تكون مفعّلة بشكل افتراضي بالمتصفح. خاصية DEP وضعت لتمنع استغلال ثغرات Buffer Overflow في المتصفح وعلى أنظمة Windows لكننا لا نستطيع اعتبارها حل نهائي لوجود طرق تمكّننا من تخطيها. بمعنى آخر هذه الخاصية ستصعّب استغلال الثغرة لكنها غير قادرة على منعه بشكل كامل.

بالنسبة لمستخدمي نظام ويندوز XP SP 2 والاصدارات الأقدم من متصفح Internet Explorer فعليهم تفعيل خاصيّة DEP بشكل يدوي باستخدام اصلاح موقّت من مايكروسوفت لتفعيل هذه الخاصية يمكن تحميله من هنا.

 

لمزيد من المعلومات: Microsoft KB979352Microsoft Security Advisory 979352CVE-2010-0249

تحديث: انتشر كود استغلال الثغرة بشكل علني يستهدف الاصدار 6 من متصفّح Internet Explorer بالاضافة للاصدار 7 في حال كانت خاصيّة DEP معطّلة بالنظام, مشروع ميتاسبلويت أضاف الاستغلال للمشروع ويمكن الحصول عليه من هنا أو عند تحديث المشروع.

للاطلاع على الاستغلال المنتشر: aurora_ie_exploitie_aurora.py

‫11 تعليقات

  1. مشكور على الخبر
    أردت أن أوضح ان تفعيل dep ليس حلا…
    لأن الإستغلال يستخدم طريقة تخطي DEP+ASLR بإستخدام .NET dll library
    لأن المتصفح IE يسمح بدمج وسوم object بها تلك dll
    تتخطى DEP لأن لما نعمل allocation لقسم من الذاكرة سيكون RWX يعني قابل للقراءة التنفيذ و الكتابة.
    و زد على ذلك أنها لا تعطي رسالة تحذير مثل التي في activeX

  2. فقط للتوضيح: ما تمّ استخدامه في الهجمات المتتالية على الشركات لم يكن فقط بسبب انترنت اكسبلور حتى لا نبدأ هنا بمعركة انترنت اكسبلور ضد فايرفوكس ضد اوبرا. الهجمات كانت بطريقة معقدة وتستخدم عدة ثغرات 0-day وموجّهة بشكل انتقائي وليس عشوائي. الهجمات ضد غوغل ادت الى سرقات لما يعرف ب intellectual property وغوغل لمن يعرف لا تستخدم ويندوز لحفظ حقوقها الفكرية.

    شركة مكافي احدى الشركات التي حققت في الموضوع ذكرت الاتي:

    While we have identified the Internet Explorer vulnerability as //one// of the vectors of attack in this incident, many of these targeted attacks often involve a cocktail of zero-day vulnerabilities combined with sophisticated social engineering scenarios. So there very well may be other attack vectors that are not known to us at this time.

  3. حسب تصريحات McAfee بتاريخ اليوم عدد الشركات الأمريكية التي تعرضت للهجوم بدءً من الشهر الماضي يقدّر بثلاثين شركة من ضمنهم Google و Adobe وثغرة Internet Explorer هي الثغرة الوحيدة التي استخدمت.

    According to Dmitri Alperovitch, vice president of threat research at McAfee, the unpatched vulnerability in IE was the only exploit used to hack into several of the companies attacked starting last month.

  4. قمت بتجربة كود استغلال الثغرة على بعض الانظمة وهذه هي النتيجة:

    ويندوز 2003 خدمة 1 تنصيب من القرص بدون أي تحديثات ومتصفح اكسبلور الاصدار السادس النتيجة انهيار المتصفح بدون الحصول على سطر الاوامر

    ويندوز 2003 خدمة 2 تنصيب من القرص محدّث ومتصفح اكسبلور الاصدار الثامن النتيجة فشل في فتح الصفحة فقط بدون انهيار ولم يتم الحصول على سطرالاوامر

    ويندوز 7 محدّث ومتصفح اكسبلور الاصدار الثامن لم يحدث انهيار ولم يتم الحصول على سطر الاوامر.

    في جميع الاختبارات اعلاه انترنت اكسبلورر كان بالاعدادات الافتراضيّة.

    السؤال الذي يطرح نفسه هنا كيف شركة مثل غوغل تمّ اختراقها بثغرة في متصفح انترنت اكسبلورر والثغرة تتطلب زيارة او النقر على ملف او صفحة مشبوهة؟

    الا يستعملون متصفّح كروم في غوغل؟ 🙂

  5. تصحيح للنتيجة على ويندوز 7

    انهار المتصفح (8) و برنامج مكافحة الفيروسات من مايكروسوفت قام بالتّصدّي (:)) لها. لم يتم الحصول على سطر الاوامر

  6. السلام عليكم اخواني الاعزاء

    مثل ماهي عادتها ميكروسوفت وصراحه انترنت اكسبلورر اسؤى متصفح

    مشكور اخوي على المعلومه

  7. السؤال الذي يطرح نفسه هنا كيف شركة مثل غوغل تمّ اختراقها بثغرة في متصفح انترنت اكسبلورر والثغرة تتطلب زيارة او النقر على ملف او صفحة مشبوهة؟

    سؤال في محله

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى