技术细节：利用IE漏洞CVE-2013-3918的定向攻击

上周末，我们发现了一起利用Internet Explorer中一个未知远程代码执行漏洞的主动攻击，该漏洞涉及一个遗留的ActiveX组件。本文旨在再次确认该代码执行漏洞将在今天的“更新星期二”发布中修复，并澄清关于第二个已报告漏洞的一些细节。

该攻击由我们的安全合作伙伴披露，是典型的定向攻击，通过一个特定的“路过式”合法网站进行利用，该网站被攻击者入侵并添加了额外代码。目前，我们分析的攻击样本仅针对运行在Windows XP上的较旧Internet Explorer版本（IE7和8），因为这些平台缺乏额外的安全缓解措施（Windows 7受影响但未受主动攻击）。EMET能够主动缓解此漏洞利用。

漏洞利用结合了两个不同的漏洞，但具有不同的影响和严重性评级：

• 一个远程代码执行漏洞（CVE-2013-3918），存在于Internet Explorer使用的InformationCardSigninHelper ActiveX组件中；
• 一个信息泄露漏洞（尚未分配CVE），攻击者仅用于提高漏洞利用的可靠性，并为受害者的机器创建特定的ROP payload；

具有较高严重性评级的远程代码执行漏洞将在今天的“补丁星期二”立即修复，我们建议客户优先部署MS13-090作为其月度发布。像往常一样，启用自动更新的客户无需采取任何操作即可接收更新，并将自动受到保护。

信息泄露漏洞不允许远程代码执行，因此其安全评级较低，因为它通常与其他高严重性漏洞（如CVE-2013-3918）结合使用，以提高利用的有效性。此外，此漏洞要求攻击者事先了解目标机器上的路径和文件名才能成功利用。该漏洞未用于绕过ASLR，而是用于远程确定磁盘上某个DLL的确切版本，以构建更精确的ROP payload（这是一个本地信息泄露，而不是内存地址泄露）。

我们仍在调查信息泄露漏洞的影响和根本原因，并可能在获得更多信息后提供额外的信息和缓解措施。

Elia Florio – MSRC Engineering