Эта история начинается между 28.03.2013 и 2.04.2013. В этот промежуток времени сайт ******.ru был инфицирован. Это хорошо можно отследить по archive.org. В коде страниц появляется следующая строчка.
Читать полностью »
На просторах интернета обнаружен исходник + компилированная версия эксплоита для повышения локальных прав в ОС Windows: NT/2K/XP/2K3/VISTA/2K8/7/8. Сама уязвимость обнаружена 24 мая 2013 — http://www.cvedetails.com/cve/CVE-2013-3660/
Работает в х86 системах.
Тред на китайском форуме: http://bbs.pediy.com/showthread.php?p=1184047#post1184047
Exploit-db: http://www.exploit-db.com/exploits/25611/
Патч на данный момент не доступен.
Похоже, месяц уязвимостей zeroday продолжается.
Очередная уязвимость в Java уже включена в несколько эксплоит паков (BlackHole Exploit Kit и Cool Exploit Kit). Вот что пишет создатель эксплоит пака BlackHole Exploit Kit:
Сообщается, что эта уязвимость очень похожа на обнаруженную в августе уязвимость в Java CVE-2012-4681. Атакующий может создать зловредную веб страницу и выполнить произвольный код на уязвимой системе. Работает на последней на текущий момент версии Java 1.7u10
Создатель Metasploit сообщил, что в ближайшее время в этот фреймворк будет включена описываемая уязвимость. Напомнив, что уязвимость может работать независимо от ОС где установлена Java. Будь то Windows, Linux или MacOS.Читать полностью »
Хабрапользователь 0xA0 нашёл 0-day в Windows XPVista7 (в Windows 8 не работает).
Судя по всему, это отзвуки отгремевшей в далёком 2010 году уязвимости CVE-2010-2568 (писали об этом и на хабре), которую активно использовал небезызвестный StuxNet. Суть баги в том, что при обращении к DLL-файлу операционная система вместо ресурсов из этой библиотеки выполняет код из самой библиотеки. В общем-то, по описанию действительно очень схожа с названной CVE-2010-2568. Читать полностью »
На днях обнаружена парнями из российской компании Group-IB обнаружена уязвимость в Adobe Reader актуальная для версий 10 и 11, позволяющая создавать вредоносные PDF-файлы, в том числе открываемые через плагины браузеров.
Читать полностью »
Специалисты компании Group-IB недавно сообщили об обнаружении уязвимости «нулевого дня» в Adobe Reader X/XI
Технических деталей практически нет. Сообщается, что:
Для успешной эксплуатации этой уязвимости необходимы специальные условия: к примеру, чтобы осуществилось неавторизированное исполнение произвольного кода необходимо закрытие интернет-браузера либо его перезагрузка. Другим вариантом эксплуатации уязвимости является инициализация интерактивного взаимодействия с пользователем, согласно которому жертве потребуется подтвердить какое-либо действие в контексте открытого документа, после чего выполнится вредоносный код
Ещё одна цитата из статьи:
Одной из существенных особенностей является тот факт, что ранее не было афишировано ни одного эксплойта под указанную версию Adobe Reader по причине наличия встроенной «песочницы» (Sandbox, Protected View — blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html), которая ограничивает возможности выполнения произвольного кода за счет внутренних инструкций и специальной среды исполнения.
Однако, на приводимой демонстрации можно увидеть Windows XP. А т.к. «песочница» задействует механизмы UAC, доступные начиная с Windows Vista, остаётся открытым вопрос: действительно ли обнаруженный код способен обойти «песочницу», используемую в Adobe Reader?
Ещё не начался у нас настоящий листопад, а уязвимости нулевого дня посыпались как осенние листья. Сколько времени прошло с выявления последней 0-day уязвимости (в Java SE 7) – менее трёх недель? И вот уже новая, и не менее интересная уязвимость – удалённое выполнение произвольного кода во всех версиях Microsoft Internet Explorer (с 6 по 9) на всех версиях ОС Windows – от 98 до 7.
В общих чертах она уже была описана в этом посте. Я расскажу подробнее о том, как работает эксплойт, каковы его истоки, и поделюсь мнением о том, что со всем этим делать… Читать полностью »
Как следует из официального блога Metasploit, последний апдейт данного продукта имеет в своём арсенале эксплоит под уязвимость нулевого дня (0day) для Java.
Эксплоит кросплатформенный и был успешно протестирован на следующих платформах:
Как можно догадаться, раз это 0day, то на настоящий момент патча не существует. Уязвимости также пока что не присвоен номер CVE.
Читать полностью »
На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java-кода за пределами песочницы JRE (Java Runtime Environment).
Первые упоминания о боевом эксплойте для этой уязвимости появились от компании Immunity, которая выпустила специальный модуль для своего продукта Immunity CANVAS еще в начале марта 7.03.2012. Эта уязвимость была закрыта 15 февраля в рамках критического обновления от Oracle. Буквально вчера поздним вечером, на момент подготовки этой публикации, появился публичный эксплойт для CVE-2012-0507 в составе Metasploit Framework. Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX. Последняя особенно интересна в свете увеличения количества вредоносных программ для нее, распространяющихся в том числе и посредством эксплуатации Java уязвимостей. Эксплойт из Metasploit Framework выглядит очень похожим на тот, что был обнаружен в обновленном Blackhole и складывается впечатление, что он был рипнут по большей части оттуда…
В последнее время я часто писал об эксплойтах для Java и они действительно в последний год самые пробивные в инцидентах массового распространения вредоносных программ. Разработчики наборов эксплойтов, таких как Blackhole, используют только так называемые 1-day уязвимости, т.е. уже содержащие официальное исправление от разработчиков. Потому что использование 0-day слишком дорого для их целей и совершенно себя не окупает, но бывают исключения, когда 0-day попадает на паблик вместе с PoC. Использование уязвимости нулевого дня на данный момент можно чаще всего увидеть в целенаправленных атаках. Кстати, довольно занимательный пост о ценах на 0-day и карме ресечеров можно почитать тут.
Вернемся к нашему эксплойту, на этой неделе снова было замечено распространение Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame конструкций для перенаправления на ресурс с набором эксплойтов.
Первым нам попался ресурс lifenews.ru, на котором содержался следующий iFrame:
Как видно из внедренного кода, сразу происходила атака именно CVE-2012-0507, а доменное имя, на котором был расположен Blackhole,<Читать полностью »
