MS13-080应对有限针对性攻击中的两个漏洞
今天我们发布了MS13-080,该更新解决了Internet Explorer中的九个CVE漏洞。此公告修复了多个安全问题,包括两个关键漏洞,这些漏洞已在有限的针对性攻击中被积极利用,我们将在本博客文章中详细讨论。
CVE-2013-3893:Fix it临时解决方案后的最终补丁
此前,微软发布了安全公告2887505,并提供了Fix it临时解决方案51001,为所有客户提供针对一个已报告并积极利用的安全问题的早期保护。Fix it临时解决方案是MSRC可以采取的响应步骤之一,以便在主动攻击期间为客户提供早期保护解决方案,结合如EMET等技术,使攻击者的利用更加复杂。我们注意到用户对Fix it临时解决方案的赞赏,下载量证明了这一点,我们很高兴用户在等待全面更新时主动使用这种保护方式。今天的Internet Explorer公告解决了这个CVE,因此我们建议所有客户(无论是否应用了Fix it临时解决方案)优先安装此安全更新。决定安装Fix it临时解决方案51001的客户可以随时安装MS13-080公告,然后使用卸载程序51002随时删除Fix it(一如既往,我们提醒用户,Fix it的存在不会干扰安全更新和即将发布的公告)。
我们知道最近针对此CVE发布了一个Metasploit模块,但从合作伙伴和传感器反馈收到的遥测数据显示,目前检测到的利用活动仍然有限,并且专门针对较旧的IE版本(8和9),使用ASLR绕过,要求机器上存在Office 2007/2010。
CVE-2013-3897:意外的释放后使用漏洞
MS13-080还修复了第二个CVE漏洞,该漏洞已在有限的网络攻击中被利用。此问题是CDisplayPointer中的释放后使用漏洞,由“onpropertychange”事件处理程序触发。此漏洞利用代码在一个流行的Javascript分析网站上被发现并缓存,并报告给我们。此问题的漏洞利用代码可能于9月中旬发布,使用堆喷射在地址0x14141414附近分配一个小型ROP链,并设计为仅针对运行在Windows XP上的IE8,针对韩语和日语用户,如下面的Javascript代码片段所示。
我们想借此机会感谢我们宝贵的合作伙伴Trustwave、荷兰国家网络安全中心和IOprotect GmbH的Renato Ettisberger,以协调的方式报告此漏洞并与我们合作。我们还决定提供漏洞利用及其有效载荷的更多细节,以帮助安全供应商和用户在应用安全更新时加强防御。
| 恶意URL | SHA1 |
|---|---|
| hXXp://1.234.31.[x]/mii/swf.js | 5F153C6ACB5F63691769E6B8C1FAC772928B08D8 |
| hXXp://1.234.31.[x]/mii/guy2.html | C15DBB6E1206F55553FC892BEA41747FC56532AE |
| hXXp://1.234.31.[x]/mii/fird.gif | A44649623478987F87ACF6292865D3FCB4294072 |
注意:[x]已被检测为使用.153和.154值的可变IP范围。
正如在两个漏洞利用中观察到的那样,攻击者能够针对旧平台上的先前版本的Internet Explorer,这些平台上所有最新的缓解措施不可用或默认未启用。因此,我们建议用户在现代Windows上安装和使用最新版本的Internet Explorer,以提高攻击者的利用难度并拥有更好的防御。有关软件缓解措施对漏洞利用模式影响的更多信息,微软最近发布了一份白皮书,可以帮助理解软件缓解措施的作用和攻击者的利用策略。
特别感谢IE团队在创纪录的时间内组装此修复程序,以及Richard van Eeden帮助分析错误的根本原因。
- Elia Florio, MSRC Engineering