Подробности о направленной атаке с использованием Win32/Exploit.CVE-2013-3906.A

в 17:08, , рубрики: CVE-2013-3906, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

Ранее мы указывали, что компания Microsoft сообщила об эксплуатации незакрытой RCE уязвимости CVE-2013-3906 злоумышленниками посредством эксплойта, который используется для организации направленных атак и установки вредоносного кода на системы жертвы. Злоумышленники использовали уязвимость в подверженных эксплуатации версиях Microsoft Word (2003-2007-2010 [2010 на Windows XP]) через специальным образом сформированный .docx файл. Атака была направлена на системы, расположенные на Среднем Востоке и в Южной Азии. Вредоносный .docx файл доставлялся через электронную почту, а само электронное письмо содержало фишинговое сообщение, согласно которому пользователь должен был открыть .docx файл.

Подробности о направленной атаке с использованием Win32/Exploit.CVE 2013 3906.A

Сама уязвимость заключается в неправильной обработке кодом TIFF-изображений, которые могут быть вставлены в документ посредством ActiveX. Для обхода механизмов смягчений DEP&ASLR на Windows Vista и Server 2008 (новейшие версии ОС Windows 7+ не подвержены эксплуатации) эксплойт использует знакомые методы heap-spray для копирования своего кода по заданному адресу, используя при этом резервирование больших блоков памяти в куче и ROP для передачи туда управления минуя ограничения DEP для памяти, недоступной для исполнения. Отличие различных модификаций эксплойтов, используемых в атаке в том, что для heap-spray использовалась сама среда ActiveX. Мы добавили этот эксплойт в свои базы как Win32/Exploit.CVE-2013-3906.A. Как и в случае других подобных уязвимостей, CVE-2013-3906 имеет тип memory-corruption, это свидетельствует о том, что начальный вектор исполнения ROP цепочки будет инициирован через передачу специального аргумента функции, которая приведет к переполнению блока памяти и началу исполнения ROP. Перед этим, сам шелл-код будет размещен в памяти через spray при использовании фреймворка ActiveX.

Подробности о направленной атаке с использованием Win32/Exploit.CVE 2013 3906.A

В процессе своей работы эксплойт подключается к удаленному C&C серверу для копирования оттуда полезной нагрузки, которая представляет из себя архив с Word-документом и вредоносной программой. Этот документ используется для отвлечения внимания пользователя пока вредоносное ПО будет скрытно установлено в системе.

Согласно информации FireEye, полученной с одного из C&C серверов, большинство жертв располагаются в Пакистане.

Подробности о направленной атаке с использованием Win32/Exploit.CVE 2013 3906.A
Рис. Регионы нахождения жертв кибератаки, согласно информации FireEye.

Злоумышленники выбрали банковский троян Citadel в качестве полезной нагрузки для атаки.

Обратите внимание, что новейшие версии ОС Windows 7-8-8.1 не являются уязвимыми при использовании последних версий Office 2010-2013, которые позволяют ограничивать от исполнения различные вложения документов Word через специальные настройки, активные по умолчанию. Файл->Параметры->Центр управления безопасностью->Параметры центра управления безопасностью->Параметры ActiveX.

Подробности о направленной атаке с использованием Win32/Exploit.CVE 2013 3906.A

Кроме этого, MS Outlook 2013 (Windows 7+) имеет в своем составе механизм sandboxing для вложений .docx, который изолирует запускаемый процесс вьювера Word.

Подробности о направленной атаке с использованием Win32/Exploit.CVE 2013 3906.A
Рис. Изоляция процесса Word, которая происходит при просмотре .docx файлов в письмах через Outlook 2013. Процессу присваивается низкий Integrity Level, запрещаются группы в маркере и удаляются привилегии.

Автор: esetnod32

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js