नई IE 0day भेद्यता ड्राइव-बाय के लिए उपयोग किया जाता है

कुछ दिनों पहले, FireEye ने घोषणा की कि इंटरनेट एक्सप्लोरर 10 में नए 0day उपयोग-बाद-मुक्त भेद्यता CVE-2014-0322 का उपयोग हमलावरों द्वारा दुर्भावनापूर्ण कोड (ड्राइव-बाय) देने के लिए किया जा रहा है। यह कहा जाता है कि अमेरिकी वेटरन्स ऑफ फॉरेन वॉर्स (vfw [।] ऑर्ग) वेबसाइट को एक दुर्भावनापूर्ण आईफ्रेम द्वारा समझौता किया गया था और इसका उपयोग उपयोगकर्ताओं को एक अन्य दुर्भावनापूर्ण वेब पेज पर रीडायरेक्ट करने के लिए किया गया था जिसने फ्लैश फाइल (.swf) का उपयोग करके भेद्यता का शोषण किया था।



शोषण, DEP से प्रसिद्ध पुस्तकालयों के गैजेट पर ASLR और ROP को बायपास करने के लिए एक्शनस्क्रिप्ट हीप-स्प्रे का उपयोग करता है, और सिस्टम में EMET की उपस्थिति की भी जांच कर सकता है। यदि EMET लाइब्रेरी - EMET.DLL का पता लगाया जाता है, तो शोषण समाप्त हो जाता है। ब्राउज़र प्रक्रिया मेमोरी तक पहुंच प्राप्त करने के लिए, दुर्भावनापूर्ण SWF फ्लैश वेक्टर ऑब्जेक्ट भ्रष्टाचार (IE10 उपयोग-बाद-मुक्त वल्न) विधि का उपयोग करता है। सभी ऑपरेशन के बाद, शोषण रिमोट सर्वर से पेलोड को डाउनलोड करता है, इसे डिक्रिप्ट करता है, और निष्पादन के लिए लॉन्च करता है। ESET एंटीवायरस उत्पाद Win32 / Exploit.CVE-2014-0332.A के रूप में इस कारनामे का पता लगाते हैं , और Win32 / Agent.QEP के रूप में पेलोड।

IE10 विंडोज 7 SP1 के साथ डिफ़ॉल्ट रूप से आता है। प्रमुख नवाचारों में से एक सैंडबॉक्सिंग तकनीक का उपयोग था, जिसे ईपीएम - एन्हांस्ड प्रोटेक्टेड मोड / एडवांस्ड प्रोटेक्ट मोड के रूप में जाना जाता था, जिसके बारे में हमने यहां और यहां विस्तार से लिखा था। Microsoft डिफ़ॉल्ट रूप से इस ब्राउज़र मोड का उपयोग नहीं करता है, इसलिए IE10 के साथ काम करते समय + इस विकल्प को सक्षम करने के लिए मत भूलना, यह ब्राउज़र की प्रतिरक्षा को काफी बढ़ा देता है। दुर्भाग्य से, पूरी तरह से EPM IE10 में केवल विंडोज 8 पर और आंशिक रूप से विंडोज 7 x64 पर लागू किया गया है।

नवीनतम IE11 सहित अन्य ब्राउज़र संस्करण, जो डिफ़ॉल्ट रूप से विंडोज 8.1 के साथ आता है और विंडोज 7 के लिए भी उपलब्ध है, कमजोर नहीं है। आप IE10 के लिए फ्लैश प्लगइन को भी अक्षम कर सकते हैं, जो इस तरह की कमजोरियों से रक्षा करेगा।


अंजीर। विंडोज 7+ x64 पर IE10 + के संचालन का संरक्षित मोड।