وقد حدد فريق FireEye مختبرات محطتين جديدتين لنقاط الضعف صفر اليوم كجزء من محدودة، والهجمات المستهدفة ضد بعض الشركات الكبرى. كلا أيام الصفر تستغل نواة ويندوز، ومايكروسوفت تعيين CVE-2014-4148 وCVE-2014-4113 لومعالجة نقاط الضعف في هم أكتوبر 2014 نشرة الأمن .
حددت FireEye 16 مختبرات الكلية هجمات اليوم صفر في العامين الماضيين - كشف 11 في عام 2013 وخمس في عام 2014 حتى الآن.
علق مايكروسوفت: "في 14 أكتوبر 2014، أطلقت مايكروسوفت MS14-058 لمعالجة هذه الثغرات بشكل كامل ويساعد على حماية العملاء. نحن نقدر FireEye مختبرات باستخدام المنسق الضعف الإفصاح لمساعدتنا في العمل نحو الإصلاح بطريقة تعاونية أن يساعد على الحفاظ على أمن وسلامة العملاء ".
في حالة CVE-2014-4148، استغلال المهاجمين ثغرة أمنية في مايكروسوفت ويندوز خط تروتايب (الصناديق) وتجهيز الفرعي، وذلك باستخدام مستند Microsoft Office إلى تضمين وتقديم الصناديق الخبيثة إلى منظمة دولية. منذ يتم معالجة الصناديق جزءا لا يتجزأ في وضع kernel، منح الاستغلال الناجح وصول المهاجمين وضع kernel. على الرغم يتم تسليم الصناديق في مستند Microsoft Office، لا تكمن في الضعف في مايكروسوفت أوفيس.
أثرت CVE-2014-4148 نظامي التشغيل ويندوز 64 بت 32 بت وتظهر في MS14-058 ، على الرغم من الهجمات استهدفت أنظمة 32 بت فقط. البرامج الضارة الواردة في استغلال وظائف محددة تكييفها لفئات منصة نظام التشغيل التالية:
- ويندوز 8.1 / ويندوز سيرفر 2012 R2
- ويندوز 8 / ويندوز سيرفر 2012
- ويندوز 7 / ويندوز سيرفر 2008 R2 (حزمة الخدمة 0 و 1)
- ويندوز إكس بي حزمة الخدمات 3
CVE-2014-4113 أصدرت مايكروسوفت ويندوز 7، فيستا، إكس بي، ويندوز 2000، ويندوز سيرفر 2003 / R2 و Windows Server 2008 / R2 عرضة لارتفاع المحلي للامتياز (برنامج التوازن الإقتصادي) الهجوم. هذا يعني أن الضعف لا يمكن استخدامها من تلقاء نفسها لتقديم تنازلات أمنية العميل. سوف تحتاج أولا للمهاجمين للوصول إلى نظام بعيد تشغيل أي من أنظمة التشغيل المذكورة أعلاه قبل أن يتمكنوا من تنفيذ التعليمات البرمجية ضمن سياق نواة ويندوز. وقد كشف التحقيق الذي أجرته مختبرات FireEye أدلة على أن المهاجمين من المرجح أشكال مختلفة من هذه المآثر تستخدم لفترة من الوقت. ويندوز 8 و Windows Server 2012 و في وقت لاحق لم يكن لديك نقاط الضعف هذه نفسها.
معلومات عن الشركات المتضررة، فضلا عن الجهات الفاعلة التهديد، غير متوفر في هذا الوقت. لدينا أي دليل على هذه مآثر تستخدم من قبل نفس الجهات الفاعلة.بدلا من ذلك، لاحظنا فقط كل استغلال يجري استخدامها بشكل منفصل، في هجمات غير ذات صلة.
حول CVE-2014-4148
التخفيف
أصدرت Microsoft التحديث الأمني MS14-058 يعالج CVE-2014 حتي 4148.
منذ مآثر الصناديق تستهدف نظام التشغيل الأساسي، يمكن استغلال الثغرة الأمنية من خلال ناقلات الهجوم متعددة، بما في ذلك صفحات الويب. في الماضي، استغلال وتحويل الكتاب عدة مماثلة استغلال (CVE-2011-3402) لاستخدامها في هجمات يستند إلى مستعرض. مزيد من المعلومات حول هذا السيناريو هي المتاحة في إطار استجابة مايكروسوفت لCVE-2011-3402: MS11-087 .
التفاصيل
هذه الصناديق استغلال وتعبئتها خلال ملف Microsoft Office. عند فتح الملف، فإن الخط استغلال ثغرة أمنية في النظام الفرعي ويندوز الصناديق تقع ضمن Win32k.sys عودة برنامج تشغيل وضع kernel.
shellcode المهاجم يقيم داخل القسم برنامج الخط (fpgm) من الصناديق. يبدأ برنامج الخط مع سلسلة قصيرة من التعليمات التي تعود بسرعة. يتم التعامل مع بقية قسم برنامج الخط كرمز قابلة للوصول لأغراض برنامج الخط ويتم تجاهل في البداية عند تحليل الخط.
خلال الاستغلال، ويستخدم shellcode المهاجم المكالمات إجراء غير متزامن (APC) لحقن المرحلة الثانية من وضع kernel في WINLOGON.EXE عملية وضع المستخدم (في XP) أو LSASS.EXE (في أنظمة تشغيل أخرى). من عملية حقن، المهاجم يكتب وينفذ مرحلة الثالثة (تنفيذ).
المرحلة الثالثة يترجم إلى DLL جزءا لا يتجزأ من ل، وتدير ذلك من والذاكرة. هذا DLL هو أداة الوصول عن بعد بكامل ميزاتها التي تربط إلى المهاجم.
الكثير من الأدلة يدعم مستوى المهاجم عالية من التطور. علاوة على أن الهجوم هو صفر اليوم على مستوى النواة استغلال، وأظهر الهجوم أيضا ما يلي:
- وتستخدم منطقة الثابت تلوينها قابلة للاستخدام من ذاكرة kernel مثل كائن مزامنة لتجنب تشغيل shellcode عدة مرات
- واستغلال ديه تاريخ انتهاء الصلاحية: إذا كان الوقت الحالي هو بعد 31 أكتوبر 2014، واستغلال shellcode والخروج بصمت
- وshellcode ديه التخصيصات لتنفيذ أربعة أنواع مختلفة من منصات OS / مستويات حزمة الخدمة، مما يوحي بأن اختبار لمنصات متعددة OS أجري
- البرمجيات الخبيثة انخفض يترجم بشكل فردي كل سلسلة عند استخدام هذه السلسلة لمنع تحليل
- يتم تخصيص البرمجيات الخبيثة انخفض خصيصا للبيئة المستهدفة
- قدرة الوصول النائية انخفض مليئة المواصفات وحسب الطلب: أنها لا تعتمد على تطبيقات المتاحة عموما (مثل اللبلاب السام)
- القدرة صول بعيد انخفض هو محمل أن يفك شفرة DLL قدرة وصول بعيد الفعلية في الذاكرة ويكتب أبدا القدرة الوصول عن بعد إلى فك القرص
حول CVE-2014-4113
التخفيف
أصدرت Microsoft التحديث الأمني MS14-058 يعالج هذا الضعف.
الضعف واستغلال تفاصيل
32 بت استغلال يؤدي الوصول إلى ذاكرة خارج نطاق الحدود التي dereferences إزاحة من عنوان الذاكرة عالية، ودون قصد يلتف في صفحة فارغة. في وضع المستخدم، dereferences الذاكرة داخل الصفحة فارغة يفترض عموما أن تكون غير قابلة للاستغلال. منذ عادة لا تعيين الصفحة فارغة - باستثناء كونها التطبيقات القديمة 16 بت يحتذى من قبل dereferences مؤشر NTVDM.EXE-اغية ببساطة تعطل عملية التشغيل. في المقابل، dereferences الذاكرة داخل صفحة فارغة في نواة تستغل عادة لأن المهاجم يمكن أول خريطة الصفحة فارغة من وضع المستخدم، كما هو الحال مع هذه المآثر. الخطوات المتخذة لنجاح 32 بت استغلال هي:
- تعيين الصفحة فارغة:
- ntdll! ZwAllocateVirtualMemory (...، BaseAddress = 0 × 1، ...)
- بناء win32k تالف! بنية tagWND في صفحة فارغة بحيث يتم التحقق من صحة بشكل صحيح في النواة
- الضعف الزناد
- رد المهاجم في win32k! tagWND.lpfnWndProc ينفذ في وضع kernel
- رد بالكتابة EPROCESS.Token لرفع الامتيازات
- يولد عملية طفل أن يرث رمز وصول ارتفاع
لا تتأثر ويندوز 8 في وقت لاحق المستخدمين عن طريق استغلال هذا 32 بت. تحظر يندوز 8 الحماية خالية الصفحة عمليات وضع المستخدم من رسم صفحة فارغة ويسبب مآثر فشل.
في الإصدار 64 بت من استغلال، يعتبر إلغاء مرجعية إزاحة من عنوان الذاكرة عالية 32 بت لا التفاف، كما هو أيضا ضمن نطاق عنونة الذاكرة لعملية وضع المستخدم 64 بت. على هذا النحو، لا تنطبق على حماية خالية صفحة تنفيذها في إصدارات ويندوز 7 (بعد MS13-031) والإصدارات الأحدث. الخطوات التي اتخذتها 64 بت استغلال المتغيرات هي:
- خريطة صفحة الذاكرة:
- ntdll! ZwAllocateVirtualMemory (...)
- بناء win32k تالف! بنية tagWND في الصفحة المعينة بحيث يتم التحقق من صحة بشكل صحيح في النواة
- الضعف الزناد
- رد المهاجم في win32k! tagWND.lpfnWndProc ينفذ في وضع kernel
- رد بالكتابة EPROCESS.Token لرفع الامتيازات
- يولد عملية طفل أن يرث رمز وصول ارتفاع
لا تتأثر ويندوز 8 في وقت لاحق المستخدمين عن طريق استغلال هذا 64 بت الوضع المشرف تنفيذ الوقاية منها (SMEP) كتل المهاجم وضع المستخدم الاستدعاء من تنفيذ ضمن وضع kernel ويسبب مآثر عليها بالفشل.
يستغل أداة التاريخ
تنفذ يستغل كأداة سطر الأوامر التي تقبل وسيطة سطر الأوامر واحدة - أمر قذيفة لتنفيذ بامتيازات SYSTEM. هذه الأداة يبدو أن نسخة محدثة من أداة السابقة. الأداة السابقة استغلت CVE-2011-1249، ويعرض الرسالة التالية لاستخدام المعياري عند تشغيله:
كمد system_exp.exe: استخدام
نوافذ نواة مآثر امتياز المحلي
الغالبية العظمى من عينات من أداة سابقة لها تجميع التمور في ديسمبر 2009. فقط تم اكتشاف عينتين مع تواريخ يجمع في مارس 2011. على الرغم من أن تستغل العينتين نفس CVE، أنها تحمل رسالة استخدام معدلة بشكل طفيف من:
كمد local.exe: استخدام
المآثر المحلية النوافذ
أحدث إصدار من أداة، والذي ينفذ CVE-2014-4113، ويزيل كل الرسائل الاستخدام.
تظهر أداة لمرت على الأقل ثلاثة مرات التكرار مع مرور الوقت. ويعتقد الأداة الأولية ويستغل لديهم محدودية، وربما تكون قد استخدمت من قبل حفنة من الجماعات هجوم متميزة. كما تم علاجها ضعف استغلالها، شخص ما مع الوصول إلى أداة تعديل لاستخدام أحدث استغلال عندما أصبحت واحدة متاحة. هذين أحدث الإصدارات من المحتمل لم يحقق التوزيع على نطاق واسع أن فعلت أداة الأصلي / مآثر وربما تم الاحتفاظ سرا، وليس بالضرورة حتى من قبل نفس الجهات الفاعلة.
0 التعليقات