在野运行时间不长 | MSRC博客

上周末，我们收到合作伙伴关于可能未被修补的Internet Explorer漏洞在野外被利用的报告。利用代码通过网页触发内存破坏漏洞，但深度利用Flash SWF文件以实现可靠的利用和代码执行。该Flash文件由复杂的ActionScript代码组成，以特定方式在内存中分配对象，使得这些对象后来可被Internet Explorer漏洞破坏，从而使Flash ActionScript代码能够不安全地访问内存区域，并完成整个利用过程。

总之，我们对这个利用样本的分析揭示了以下内容：

• 攻击者通过IE的使用后释放漏洞绕过ASLR，破坏Flash Vector<>对象的大小，使Flash ActionScript能够不安全地访问内存并泄露模块地址，包括NTDLL基址；
• 通过ROP小工具调用ntdll!NtProtectVirtualMemory来改变不可执行内存页的保护为可执行，从而绕过DEP；

好消息是，这次攻击中使用的内存破坏漏洞——CVE-2013-3163——已被昨天的Microsoft安全公告MS13-055解决。如果您尚未更新，请尽快进行。EMET 4.0能够在补丁之前通过以下缓解措施阻止此利用变体：

• HeapSpray（对EMET 3.0也有效）
• 多个ROP缓解措施：StackPivot、CallerCheck、启用“DeepHooks”时的MemProt

检测建议和指标

这种有限针对性攻击的常见模式是使用驱动网页“vid.aspx”或“list.aspx”作为触发漏洞并运行次要Flash负载的起点；以下我们提供一些可用于日志和网络流量分析的URL模式：

• h **p://profiles.johnhoward.org/archives/vid.aspx?id=[字母数字字符]
• h** p://johnhoward.org/archives/vid.aspx?id=[字母数字字符]
• h ** p://visit.ccgeo.org/act/list.aspx?id=[字母数字字符]

截至7月7日，根据VirusTotal，一些特定的Flash样本仍未被大多数AV社区检测到；这些样本的哈希和文件名如下，以方便AV供应商检测：

收到的样本使用的shellcode尝试下载一个图形文件（pageerror.gif），其中附加了一个加密和压缩的恶意可执行文件，可能从%TEMP%文件夹使用“javae.exe”文件名启动。

保持安全， Cristian Craioveanu, Elia Florio MSRC工程团队