onsdag 19 september 2012

Så utnyttjas den nya sårbarheten i Explorer

De senaste dagarna har flera organisationer och medier varnat för en nyupptäckt sårbarhet i Internet Explorer. Myndigheten för samhällsskydd och beredskap avråder myndigheter från att använda Internet Explorer. WeCloud förklarar hur det verkliga hotet ser ut och hur sårbarheten utnyttjas.

Webbsidan hxxp:// invitation [.] spacegas [.] com /Join-Id.html är ett exempel på en av de  webbsidor som utnyttjar sårbarheten i Internet Explorer (CVE-2012-4969) för att infektera besökare.

Webbsidan utger sig för att vara en mötesförfrågan till ett online-möte (t.ex. WebEx eller GoToMeeting): 

Förmodligen används någon form av "social engineering" som skickas via e-post för att lura in användaren på webbsidan, eftersom inga HTTP-referals har kunnat knytas till sidan.

Webbsidans kod innehåller en iFrame som pekar på en sida (join.html) på samma IP (211.237.20.39):



Sidan join.html levererar den omtalade CVE-2012-4969 exploit-koden:


"Moh2010.swf" är ett vanligt förekommande filnamn i samband med detta hot. MD5-hachen  av den Flash-fil som vi laddade ner var: 501cf420b5495874d6c795804ce21fd8 och är krypterad med DoSWF.

Genom att köra sårbarheten och den medföljande skadliga koden i Anubis sandbox skapas följande rapport: Länk till Anubis Rapporten.


Vi noterar att följande registernyckel skapas:
HKU \ S-1-5-21-842925246-1425521274-308236825-500 \ Software \ Microsoft \ Internet Explorer \ International \ CpMRU samt ett "Mutex Set": _SHuassist.mtx

Vidare analyser visar att någon laddat upp den skadliga koden till analysverktyget VirusTotal - som visardefinierar den som Delphi RAT (möjligen en Hupigon-variant). Fullständig rapport hittas här: Virus Total Report.


WeCloud's webbsäkerhetslösning från Zscaler hindrar automatiskt  kod som utnyttjar sårbarheten att nå webbläsaren, oavsett var användaren kopplar upp sig. Zscaler deltar i säkerhetssamarbetet Microsoft MAPPS (Microsoft Active Protections Program) och får automatiskt information om nya sårbarheter i mjukvara för att snabbt kunna implementera skydd och stoppa utnyttjande av 0-dagarssårbarheter. 

www.wecloud.se
info@wecloud.se