Недавно мы написал о новой опасной уязвимости CVE-2014-6332 в Windows, которая присутствовала (MS14-064) в библиотеке OleAut32.dll, а точнее, в функции OleAut32!SafeArrayRedim .
Эта функция используется механизмом VBScript (vbscript.dll) для изменения размера массива в формате SAFEARRAY во время выполнения.
В большинстве SafeArrayRedim содержала уязвимость, позволявшую модифицировать поле размера массива внутри функции и затем возвращать результат неудачной операции, что приводило к увеличению размера буфера с точки зрения самой структуры.
См.
более подробную информацию.
Здесь .
В связи с тем, что эксплойт для данной уязвимости (Windows OLE Automation Array Remote Code Execution Vulnerability) фактически может работать с памятью напрямую, из-за повреждения структуры заголовка буфера функцией ОС нет необходимости прибегать к эксплойтным операциям.
нравиться использовать после бесплатного использования , вся операция сводится к последовательному выполнению нескольких функций, которые помогают запустить процесс из функции VBScript, минуя DEP и ASLR. Аналитики нашей антивирусной лаборатории обнаружили эксплуатацию этой уязвимости в реальных условиях.
Речь идет о компрометации сайта популярного информационного агентства Болгарии вредоносным контентом.
Мы обнаружили одну из веб-страниц на этом сайте, которая была скомпрометирована и перенаправляла посетителей на установку вредоносного ПО с использованием CVE-2014-6332. Внешний вид этой взломанной веб-страницы показан на скриншоте ниже.
Исходный HTML-код этой веб-страницы содержит вредоносный iframe, указывающий на страницу установки эксплойта.
Как видно на скриншоте выше, эксплойт размещен на веб-странице, принадлежащей домену natmasla[.
]ru. Он обнаруживается продуктами ESET AV как Win32/Exploit.CVE-2014-6332.A .
Обнаруженный эксплойт основан на контрольном коде, опубликованном китайским исследователем.
Сам PoC содержит свои данные.
Злоумышленникам не составило труда модифицировать исходный PoC для установки своего вредоносного ПО в систему.
Как ни странно, сама вредоносная страница дважды содержит код эксплоита.
В первом случае полезная нагрузка представляет собой набор инструкций интерпретатора команд Windows (cmd.exe).
Они показаны на скриншоте ниже.
Как видите, этот набор команд содержит одну группу с префиксом [at]echo, которая предназначена для записи специальных инструкций в текстовый файл (KdFKkDls.txt, имя файла может отличаться для разных модификаций эксплойта).
Эти инструкции предназначены для ftp-приложения, которое запускается специальным ключом -s (принимать команды для выполнения из файла).
В файл записываются специальные ftp-инструкции, с помощью которых осуществляется подключение к удаленному серверу с заданным логином и паролем, затем загружается и запускается исполняемый файл.
В случае второй полезной нагрузки она принимает форму следующих инструкций.
Видно, что на этот раз для загрузки исполняемого файла с удаленного сервера PowerShell .
Вредоносное ПО, загруженное таким способом, обнаруживается продуктами ESET AV как Win32/IRCBot.NHR .
В его арсенале имеется ряд возможностей, в том числе организация DDoS-атак и открытие удаленного доступа к компьютеру для злоумышленников.
Теги: #CVE-2014-6332 #информационная безопасность
-
Бомба Сатоши
19 Oct, 24 -
Rss Не Работает, Если Вы Не Посещаете Сайт
19 Oct, 24 -
Виджеты Яндекса, Сначала Попробуйте
19 Oct, 24 -
Рецепт Перехватчик-Нг
19 Oct, 24
