Windows exploity
Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu
Chyba systemové služby Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability Risk - High Date Discovered: Description A buffer overrun vulnerability has been reported in Microsoft Windows that can be exploited remotely via a DCOM RPC interface that listens on TCP/UDP port 135. The issue is due to insufficient bounds checking of client DCOM object activation requests. Exploitation of this issue could result in execution of malicious instructions with Local System privileges on an affected system. Update : Exploit development is continuing, but at this time there is no evidence that successful worms have been developed. Discovered: W32/Blaster Also Known As: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F- Secure],
Sasser LSASS vulnerability Sasser – start vyplacena odměna za dopadení autora.-)
MyDoom – nová verze MyDoomu, která využívá bezpečnostní díru zveřejněnou o dva dny dříve
Zero Day MS Honeynet Project našel 287 stránek zneužívajících chybu zveřejněnou později Microsoft Security Bulletin MS –Vulnerability in JView Profiler Could Allow Remote Code Execution (903235)
Zero-day exploit: Countdown to darkness Červenec 2004 – první vydání
Proč takový vývoj Mohou být nalezeny náhodou Cíleným úsilím bezpečnostní firmy Exploity se hledají a zneužívají pro komerční účely –Cílené útoky – krádeže informací –Vybudováné sítě „poslušných“ počítačů - spam
Někdy prakticky nevyužitý Následné patche – není prostor k šíření Snadná detekce Mediální „masáž“
JPEG Už o dva roky dříve pokus o zneužití - Perrun Polovina zaří 2004 pokus druhý, tentokrát úspěšnější –Aka GDI exploit (gdiplus.dll) Snadná generická detekce
WMF exploit „vánoční dárek“ 2005 Zneužit m.j. k phisingu Na chvíli se objevil na stránkach AMD
WMF exploit Aktualizované AV –Přelom 2005/2006 První pomoc –Odregistrovat postiženou knihovnu –Neoficiální patch MS patch (čtvrtek !)
Word exploit V polovině května 2006 –První útok Nesouvisí s makroviry Zavislý na verzi Windows a Office První pomoc –Použít alternativní programy WordView nebo WordPad
Excel exploit Následoval cca o týden později Využívá jinou bezpečnostní díru na obdobném principu Dropper vypouští kód, který se snaží integrovat do IE Spustil lavinu obdobných exploitů
PowerPoint exploit 20. června –Instaluje keylogger –Instaluje backdoor –Původní infikovanou prezentaci nahradí falešnou MS záplata 8. července
Word/Excel/PPT Poměrně složité vyrobit –Modifikace připraveného dokumentu Obtížné infikování
Pravidelné záplaty (patch) Každé druhé úterý –Nový exploit den poté
Office exploity PoC Shell code Škodlivý kód připojený k dokumentu –Vložený vs. připojený Škodlivý kód se stahuje z internetu –Vyšší variabilita –Možnost administrativně zrušit
PoC – Proof of Concept V minimální verzi způsobí „pouze“ pád aplikace – 4 byte Neškodný důkaz – např. spustí jinou legální aplikaci (Calc)
PoC – Proof of Concept V minimální verzi způsobí „pouze“ pád aplikace – 4 byte Neškodný důkaz – např. spustí jinou legální aplikaci (Calc) Sporná detekce –Genericky ne zcela bezpečné –Jak hlásit ?
Shell code Co to je Jak je veliký
Office exploity PoC Shell code Škodlivý kód připojený k dokumentu –Vložený vs. připojený Škodlivý kód se stahuje z internetu –Vyšší variabilita –Možnost administrativně zrušit
VML V HTML stránce –Stačí navštívit WEB, netřeba nic spouštět Součást u
VML Opraven (mimo pořadí) Dříve alternativní řešení –Odregistrovat postiženou knihovnu regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dllTest –Disable Binary and Script Behaviors in the Internet and Local Intranet security –Alternativní patch
Nástroje na generování exploitů
Informace o exploitech Microsoft Security Response Center (MSRC) Common Vulnerabilities and Exposures (CVE)