Análisis de la vulnerabilidad 0-Day de Microsoft (ya corregida MS17-013)
Microsoft ha publicado detalles técnicos sobre la vulnerabilidad 0-Day que está siendo explotada por un grupo de APT conocido como Zirconium. La vulnerabilidad ya se corrigió el 14 de marzo pasado con el MS17-013 y según la compañía, la vulnerabilidad CVE-2017-0005 afecta a versiones anteriores a Windows 10 y permite ejecutar código remoto si un usuario visita un sitio web especialmente diseñado o abre un documento manipulado.
La vulnerabilidad, descrita en un documento técnico de Microsoft, afecta al componente Win32k de Windows en el Windows GDI (Graphics Device Interface). Si se explota exitosamente, permite Elevación de Privilegios (EoP).
Originalmente Microsoft no había revelado que la vulnerabilidad estaba siendo explotada activamente y la corrigió en junio de 2016 clasificándola como Importante. Pero en febrero pasado, los investigadores de seguridad de Project Zero de Google descubrieron que el arreglo era incompleto. Después de saltar la ronda de actualizaciones de febrero, la compañía ha publicado información adicional sobre esta vulnerabilidad.
El desglose técnico de la vulnerabilidad reveló que la vulnerabilidad 0-Day de EoP apunta a equipos que ejecutan Windows 7 y Windows 8. Según los investigadores, hay cuatro etapas de ejecución del exploit.
En la etapa 1 se descifra el archivo PE del código de exploit principal, usando el algoritmo AES-256. Se utiliza una contraseña hardcodeada para descifrar el payload para la siguiente etapa. La etapa 2 incluye la rutina de resolución de APIs. La etapa 3 incluye determinar la plataforma del sistema operativo y el número de versión. La etapa 4 comprende explotación propiamente dicha, resultando en la corrupción de memoria y la ejecución de código privilegiado.
La ejecución de código utilizada por Zirconium es posible gracias a un puntero en la función PALETTE.pfnGetNearestFromPalentry, que está diseñada para ejecutar código en el Kernel. Esta es una técnica de explotación que los investigadores de seguridad de Microsoft han estado siguiendo de cerca durante años, ya fue vista durante el incidente de Duqu, e incluso fue descripta en una presentación de Virus Bulletin 2015. Se cree que los atacantes Duqu estaban detrás de ataques contra varias autoridades de certificación y campañas de espionaje contra el programa nuclear de Irán.
Microsoft dice que si bien el uso de un objeto PALETTE malformado vincula a Duqu y Zirconium, la forma en que se aprovechan de la vulnerabilidad es diferente. "Este diferencia indica claramente que estos dos exploits no están relacionadas, a pesar de las similitudes en su código".
Fuente: ThreatPost
La vulnerabilidad, descrita en un documento técnico de Microsoft, afecta al componente Win32k de Windows en el Windows GDI (Graphics Device Interface). Si se explota exitosamente, permite Elevación de Privilegios (EoP).
Originalmente Microsoft no había revelado que la vulnerabilidad estaba siendo explotada activamente y la corrigió en junio de 2016 clasificándola como Importante. Pero en febrero pasado, los investigadores de seguridad de Project Zero de Google descubrieron que el arreglo era incompleto. Después de saltar la ronda de actualizaciones de febrero, la compañía ha publicado información adicional sobre esta vulnerabilidad.
El desglose técnico de la vulnerabilidad reveló que la vulnerabilidad 0-Day de EoP apunta a equipos que ejecutan Windows 7 y Windows 8. Según los investigadores, hay cuatro etapas de ejecución del exploit.
En la etapa 1 se descifra el archivo PE del código de exploit principal, usando el algoritmo AES-256. Se utiliza una contraseña hardcodeada para descifrar el payload para la siguiente etapa. La etapa 2 incluye la rutina de resolución de APIs. La etapa 3 incluye determinar la plataforma del sistema operativo y el número de versión. La etapa 4 comprende explotación propiamente dicha, resultando en la corrupción de memoria y la ejecución de código privilegiado.La ejecución de código utilizada por Zirconium es posible gracias a un puntero en la función PALETTE.pfnGetNearestFromPalentry, que está diseñada para ejecutar código en el Kernel. Esta es una técnica de explotación que los investigadores de seguridad de Microsoft han estado siguiendo de cerca durante años, ya fue vista durante el incidente de Duqu, e incluso fue descripta en una presentación de Virus Bulletin 2015. Se cree que los atacantes Duqu estaban detrás de ataques contra varias autoridades de certificación y campañas de espionaje contra el programa nuclear de Irán.
Microsoft dice que si bien el uso de un objeto PALETTE malformado vincula a Duqu y Zirconium, la forma en que se aprovechan de la vulnerabilidad es diferente. "Este diferencia indica claramente que estos dos exploits no están relacionadas, a pesar de las similitudes en su código".
Fuente: ThreatPost
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!