0day-уязвимость IE 6/7/8 использовали в политических целях

image

Специалисты компании FireEye обнаружили вредоносный код на сайте Совета по международным отношениям США (СМО), очень влиятельной некоммерческой организации, которая занимается аналитической обработкой внешнеполитического курса США. Организация основана в 1918 году при поддержке крупных банков и финансовых организаций Уолл-стрит, а её миссия формулировалась как «пробудить Америку к её всемирной ответственности».

Членами СМО являются 4500 человек, среди них большинство лиц, которые оказали значительное влияние на внешнюю политику США в последние десятилетия. Это своеобразный мозговой центр и главный оперативный штаб по разработке и проведению внешнеполитического курса. Подробнее об «истинных задачах» Совета по международным отношениям США можно прочитать в советской пропагандистской литературе.

27 декабря на сайте Совета по международным отношениям США был обнаружен вредоносный код JavaScript, который разместили примерно за неделю до этого (21 декабря). Скрипт загружал эксплойт, который использовал ранее неизвестную 0day-уязвимость в Internet Explorer 8 и более ранних версий. Уязвимость связана с некорректной обработкой контента Adobe Flash.

Интересно, что скрипт срабатывал только для пользователей, у которых язык операционной системы распознавался как английский, китайский, японский, корейский и русский.

var h=navigator.systemLanguage.toLowerCase();
if(h!="zh-cn" && h!="en-us" && h!="zh-tw" && h!="ja" && h!="ru" && h!="ko")
{
location.href="about:blank";
}

Скрипт также проверял cookies, чтобы не поставлять эксплойт одному пользователю дважды.

var num=DisplayInfo();
if(num >1)
{
location.href="about:blank";
}

После проверки скрипт запускал вредоносный файл today.swf, а также записывал в кэш xsainfo.jpg. Он выступал в качестве дроппера и скачивал flowertep.jpg, который декодируется как DLL, а также бинарник shiape.exe, который после исполнения внедрял код в процесс iexplore.exe и прописывался в реестре HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\.

29 декабря компания Microsoft подтвердила факт уязвимости и опубликовала бюллетень безопасности. Уязвимости присвоен идентификатор CVE-2012-4792.

Разработчики эксплойт-пака Metasploit уже опубликовали анализ уязвимости. Выпущен также концептуальный модуль Proof-of-Concept.
Видеофайл в формате mp4

Подробнее: http://www.xakep.ru/post/59898/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

0day-уязвимость IE 6/7/8 использовали в политических целях | | 2012-12-31 18:12:00 | | Статьи об Интернет безопасности | | Специалисты компании FireEye обнаружили вредоносный код на сайте Совета по международным отношениям США (СМО), очень влиятельной некоммерческой организации, которая занимается аналитической | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: