מדובר באקספלויט שהתפרסם לפני כשבוע, ב-14 לינואר. בעזרת אקספלויט אשר מכונה “Aurora” האקרים סינים הצליחו להשיג גישה לרשתות של 29 אירגונים גדולים בעולם ובינהם אפשר למצוא את Juniper, Adobe ולא אחרת מאשר Google.
בעקבות הפרשה, המשרד לענייני אבטחת מידע בגרמניה המליץ לאזרחי המדינה לא להשתמש בדפדפן של חברת מיקרוסופט אלה להשתמש בדפדפנים חלופיים עד שתפורסם תיקון לבעיה. [המקור בגרמנית]
האקספלויט מנצל באג מסוג Use/Read After Free (מוגדר כ-Invalid Pointer References) בספריה שמפרשת את קוד ה-Javascript/HTML (נמצאת ב-mshtml.dll) בדפדפני Internet Explorer של מיקרוסופט בגירסאות:
- Internet Explorer 6 (Service Pack 1 on Microsoft Windows 2000 Service Pack 4)
- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8 (on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2)
תיאור החולשה כדברי מיקרוסופט:
"The vulnerability exists as an invalid pointer reference within Internet Explorer. It is possible under certain conditions for the invalid pointer to be accessed after an object is deleted. In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution"
למרות שהקוד המקורי שהכה גלים שבוע שעבר לא מהווה כשל אבטחה קריטי לדפדפנים מעל IE6, שילובו עם חולשה נוספת (אשר נוצלה כבר בעבר) מאפשר לו לעקוף את מנגנון ה-DEP ולהשפיע גם על הדפדפנים IE7 ו-IE8. לכן המלצת מומחים מ-VUPEN הינה לבטל את מנוע ה-JavaScript בדפדפן.
כמובן שרגע לאחר פרסום קוד האקספלויט ב-Wepawet, החבר’ה מ-Metasploit שכתבו לו מודול למערכת שלהם Remote Execution ב-IE6 ו-Crash בגרסאות 7 ו-8.
פרזנטציה של המתקפה במודול האקספלויט דרך Metasploit בכדי להריץ Meterpreter על הקורבן והצגת וקטור התקיפה אפשר למצוא בבלוג של Praetorian Prefect.
התגוננות: נכון להיום (חמישי) אין טלאי רשמי מחברת מיקרוסופט לתיקון החולשה. אך החבר’ה מ-DarkReading לא ישבו ללא מעש ושחררו את המאמר: Seven Steps For Protecting Your Organization From Aurora
השלבים השעקריים בו הם:
- עדכון הדפדפן ל-IE8.
- ב-Vista ומעלה: הרצתו תחת Protected Mode.
- הפעלת מנגנון ה-DEP (שרץ באופן דיפולטיבי בדפדפן השמיני מ-XP SP3 ומעלה).
- וכמובן- להגביר את מודעות העובדים באירגון.
מיקרוסופט מצידה פרסמה שמחר (שישי) בשעה 1:00 בלילה (שעון קנדה) יפורסם הטלאי. דבר נוסף שחשוב לדעת על מיקרוסופט הוא שהחברה ידעה ע”י החולשה הזאת כמעט ארבע חודשים לפני היא נוצלה ע”י הסינים- מרון סלם, מחברת BugSec (הבחור שכתב לנו את המאמר על SQL InjectionCLR Integration בגליון הרביעי) גילה את החשיפה וביחד עם Trancer כתב לה מימוש PoC ודיווח עליה למיקרוסופט.
וכן, אנחנו יודעים שכל זה התרחש לפני כשבוע, אבל לא ראינו איזכורים לכך באינטרנט הישראלי. אז זה נחשב :)