Уязвимости нулевого дня и защита от текущих угроз

14 июля, 2009

Марчук Валерий
Редактор SecurityLab.ru, MVP in Enterprise Security

Введение

Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках. Подобные уязвимости мы оцениваем как критические и рекомендуем всем читателям немедленно принимать меры по их устранению.

В этой статье речь пойдет об уязвимости в Microsoft Office Web Components ActiveX компоненте и других уязвимостях нулевого дня.

Уязвимости нулевого дня в 2006-2009 гг.

В период с 2006 по июль 2009 года было обнаружено 24 уязвимости нулевого дня. Из них 19 уязвимостей в продуктах Microsoft.

Рис.1 Уязвимости нулевого дня за 2006-2009 гг, статистика SecurityLab.ru

Как видно на Рис. 1, количество уязвимостей нулевого дня в первом полугодии 2009 года превышает общее количество уязвимостей, обнаруженных в 2007 и 2008 годах. Это свидетельствует о повышении интереса злоумышленников к подобным уязвимостям. Не исключено, что именно финансовый кризис стал этому причиной.

* - количество дней эксплуатации уязвимости до выхода исправления определить не удается
** - уязвимость не устранена в настоящее время

На момент написания статьи не устранено 4 уязвимости, из них 3 уязвимости в продуктах Microsoft и одна в PJBlog3.

Временное решение по устранению уязвимостей

• Уязвимость в Microsoft Office Web Components Spreadsheet ActiveX компоненте

Уязвимость существует из-за ошибки проверки границ данных в методе msDataSourceObject() в Office Web Components Spreadsheet ActiveX компоненте. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе. В настоящий момент в публичном доступе находится 3 варианта эксплоита к этой уязвимости.

Уязвимые приложения:

• Microsoft Office XP Service Pack 3
• Microsoft Office 2003 Service Pack 3
• Microsoft Office XP Web Components Service Pack 3
• Microsoft Office 2003 Web Components Service Pack 3
• Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
• Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
• Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
• Microsoft Internet Security and Acceleration Server 2006
• Internet Security and Acceleration Server 2006 Supportability Update
• Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
• Microsoft Office Small Business Accounting 2006

В качестве временного решения для устранения уязвимости мы рекомендуем деактивировать уязвимый ActiveX компонент. Для этого установите Compatibility Flags в DWORD значение 0x00000400 для ключей

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}

Или скачайте и запустите .msi файл (http://go.microsoft.com/?linkid=9672747).

• Выполнение произвольного кода в Microsoft DirectShow MPEG2TuneRequest ActiveX

Уязвимость существует из-за ошибки проверки границ данных при обработке потокового видео в BDATuner.MPEG2TuneRequest.1 ActiveX компоненте (msVidCtl.dll) в Microsoft DirectShow. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе.

Уязвимости подвержены:

• Microsoft Windows XP
• Microsoft Windows 2003

Для устранения уязвимости следует деактивировать уязвимый ActiveX компонент. Microsoft выпустила утилиту, деактивирующую CLSID, относящиеся к Microsoft Video ActiveX компоненту. Скачать .msi файл можно по ссылке:
http://go.microsoft.com/?linkid=9672398

Проактивная защита

В качестве проактивной защиты мы рекомендуем администраторам осуществить следующие действия:

• Заблокировать доступ к доменным именам, с которых устанавливается вредоносное ПО. Инструкции по настройке DNS серверов и список доменов для блокирования можно найти в блоге по адресу http://www.securitylab.ru/blog/personal/tecklord/9228.php
• Осуществлять мониторинг сетей на предмет попыток эксплуатации уязвимостей. Пример правил обнаружения уязвимостей для Snort IDS:
  • alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"Microsoft OWC Spreadsheet 0-day Exploit Attempt"; flow:from_server, established; content:"0002E559-0000-0000-C000-000000000046"; nocase; pcre:"/<OBJECTs+[^>]*classids*=s*[x22x27]?s*clsids*x3as* x7B?s*0002E559-0000-0000-C000-000000000046/si";  classtype:attempted-user; sid:3000900; rev:1;)
  • alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"Microsoft OWC Spreadsheet 0-day Exploit Attempt"; flow:from_server, established; content:"0002E541-0000-0000-C000-000000000046"; nocase; pcre:"/<OBJECTs+[^>]*classids*=s*[x22x27]?s*clsids*x3as* x7B?s*0002E541-0000-0000-C000-000000000046/si"; classtype:attempted-user; sid:3000901; rev:1;)
  • alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"Possible MSVIDCTL.dll exploit attempt"; flow:to_client,established; content:"|00 03 00 00 11 20 34|"; content:"|ff ff ff ff 0c 0c 0c 0c 00|"; within:70; classtype:trojan-activity; reference:url,www.securitylab.ru/vulnerability/382197.php; sid:3000902; rev:1;)
  • alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"Possible MSVIDCTL.dll exploit attempt"; flow:to_client,established; content:"|00 03 00 00 11 20 34|"; content:"|ff ff ff ff 0c 0c 0c 0c 00|"; within:70; classtype:trojan-activity; reference:url,www.securitylab.ru/vulnerability/382197.php; sid: 3000903; rev:1;)

Заключение

Еще только середина июля, а мы уже наблюдаем 4 уязвимости нулевого дня -  это максимальное количество уязвимостей нулевого дня, обнаруженных в течении одного месяца за последние 4 года. Очень хочется надеяться, что июль 2009 является исключением и подобного более не повториться. Сегодня Microsoft планирует выпустить исправление для уязвимости в Microsoft DirectShow MPEG2TuneRequest ActiveX компоненте. Следите за публикацией уязвимостей на SecurityLab.ru.