alfares
02-08-2010, 06:33 AM
نشرت شركة مايكروسوفت نشرة أمنية عاجلة لتحذير المستخدمين بوجود ثغرة 0-Day من نوع Remote Code Execution في جميع اصدارات متصفح Internet Explorer. يتمكّن المهاجم من اختراق جهاز المستخدم بعد توجيهه لصفحة تحتوي على أكواد ضارّة تقوم بتخريب ذاكرة المتصفح وحقن كود يؤدي لاختراق الجهاز عن بعد.
http://www.isecur1ty.org/images/stories/internetexplorer.png
تم التبليغ عن هذه الثغرة بواسطة كل من Google , Adobe , MANDIANT وشركة McAfee الأمنية ايضاً بعد تعرض الشركات السابقة وأكثر من 20 شركة أمريكية أخرى لهجمات قوية مصدرها الصين. وحسب التدوينة التي نشرتها Google (http://googleblog.blogspot.com/2010/01/new-approach-to-china.html) سابقاً, الصينيون استخدموا هذه الثغرة لاختراق حسابات Gmail لعدد من النشطاء الصينيون لحقوق الانسان.
يعود سبب الثغرة لوجود خطأ برمجي في معالج صفحات HTML بمتصفح Internet Explorer حيث يتمكّن المهاجم من تخريب ذاكرة المتصفح لحقن Shellcode يمكّنه من اختراق جهاز المستخدم والتحكم به بشكل كامل عن بعد.
حتى الآن لم نشاهد انتشار استغلال علني للثغرة السابقة وبحسب مايكروسوفت تم اكتشاف استخدام محدود لاستغلال يستهدف Internet Explorer 6 فقط مع العلم أن مايكروسوفت صرّحت بأن جميع اصدارات متصفح Internet Explorer منذ الاصدار 6 وحتى 8 مصابة بهذه الثغرة ويمكن استغلالها على جميع أنظمة Windows (XP , SERVER , VISTA وحتى SEVEN). لكن في Windows XP SP3 , Windows VISTA SP1 و Windows 7 وبمتصفح Internet Explorer 8 خاصيّة Data Execution Prevention تكون مفعّلة بشكل افتراضي بالمتصفح. خاصية DEP وضعت لتمنع استغلال ثغرات Buffer Overflow في المتصفح وعلى أنظمة Windows لكننا لا نستطيع اعتبارها حل نهائي لوجود طرق تمكّننا من تخطيها. بمعنى آخر هذه الخاصية ستصعّب استغلال الثغرة لكنها غير قادرة على منعه بشكل كامل.
بالنسبة لمستخدمي نظام ويندوز XP SP 2 والاصدارات الأقدم من متصفح Internet Explorer فعليهم تفعيل خاصيّة DEP بشكل يدوي باستخدام اصلاح موقّت من مايكروسوفت لتفعيل هذه الخاصية يمكن تحميله من هنا (http://go.microsoft.com/?linkid=9668626).
لمزيد من المعلومات: Microsoft KB979352 (http://support.microsoft.com/kb/979352) - Microsoft Security Advisory 979352 (http://www.microsoft.com/technet/security/advisory/979352.mspx) - CVE-2010-0249 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249)
تحديث: انتشر كود استغلال الثغرة بشكل علني يستهدف الاصدار 6 من متصفّح Internet Explorer بالاضافة للاصدار 7 في حال كانت خاصيّة DEP معطّلة بالنظام, مشروع ميتاسبلويت أضاف الاستغلال (http://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html) للمشروع ويمكن الحصول عليه من هنا (http://www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb) أو عند تحديث المشروع.
للاطلاع على الاستغلال المنتشر: aurora_ie_exploit (http://www.isecur1ty.org/exploits/aurora_ie_exploit.txt) - ie_aurora.py (http://www.isecur1ty.org/exploits/ie_aurora.py.txt)
http://www.isecur1ty.org/images/stories/internetexplorer.png
تم التبليغ عن هذه الثغرة بواسطة كل من Google , Adobe , MANDIANT وشركة McAfee الأمنية ايضاً بعد تعرض الشركات السابقة وأكثر من 20 شركة أمريكية أخرى لهجمات قوية مصدرها الصين. وحسب التدوينة التي نشرتها Google (http://googleblog.blogspot.com/2010/01/new-approach-to-china.html) سابقاً, الصينيون استخدموا هذه الثغرة لاختراق حسابات Gmail لعدد من النشطاء الصينيون لحقوق الانسان.
يعود سبب الثغرة لوجود خطأ برمجي في معالج صفحات HTML بمتصفح Internet Explorer حيث يتمكّن المهاجم من تخريب ذاكرة المتصفح لحقن Shellcode يمكّنه من اختراق جهاز المستخدم والتحكم به بشكل كامل عن بعد.
حتى الآن لم نشاهد انتشار استغلال علني للثغرة السابقة وبحسب مايكروسوفت تم اكتشاف استخدام محدود لاستغلال يستهدف Internet Explorer 6 فقط مع العلم أن مايكروسوفت صرّحت بأن جميع اصدارات متصفح Internet Explorer منذ الاصدار 6 وحتى 8 مصابة بهذه الثغرة ويمكن استغلالها على جميع أنظمة Windows (XP , SERVER , VISTA وحتى SEVEN). لكن في Windows XP SP3 , Windows VISTA SP1 و Windows 7 وبمتصفح Internet Explorer 8 خاصيّة Data Execution Prevention تكون مفعّلة بشكل افتراضي بالمتصفح. خاصية DEP وضعت لتمنع استغلال ثغرات Buffer Overflow في المتصفح وعلى أنظمة Windows لكننا لا نستطيع اعتبارها حل نهائي لوجود طرق تمكّننا من تخطيها. بمعنى آخر هذه الخاصية ستصعّب استغلال الثغرة لكنها غير قادرة على منعه بشكل كامل.
بالنسبة لمستخدمي نظام ويندوز XP SP 2 والاصدارات الأقدم من متصفح Internet Explorer فعليهم تفعيل خاصيّة DEP بشكل يدوي باستخدام اصلاح موقّت من مايكروسوفت لتفعيل هذه الخاصية يمكن تحميله من هنا (http://go.microsoft.com/?linkid=9668626).
لمزيد من المعلومات: Microsoft KB979352 (http://support.microsoft.com/kb/979352) - Microsoft Security Advisory 979352 (http://www.microsoft.com/technet/security/advisory/979352.mspx) - CVE-2010-0249 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249)
تحديث: انتشر كود استغلال الثغرة بشكل علني يستهدف الاصدار 6 من متصفّح Internet Explorer بالاضافة للاصدار 7 في حال كانت خاصيّة DEP معطّلة بالنظام, مشروع ميتاسبلويت أضاف الاستغلال (http://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html) للمشروع ويمكن الحصول عليه من هنا (http://www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb) أو عند تحديث المشروع.
للاطلاع على الاستغلال المنتشر: aurora_ie_exploit (http://www.isecur1ty.org/exploits/aurora_ie_exploit.txt) - ie_aurora.py (http://www.isecur1ty.org/exploits/ie_aurora.py.txt)