Detalhes de exploit para bug não corrigido da Microsoft são expostos
Um site malicioso ou anúncio malicioso pode desencadear uma exploração para o bug de dia zero do IE, abrindo a porta para roubo de dados e execução de código, novas notas de análise.
Novos detalhes surgiram sobre uma vulnerabilidade de segurança não corrigida no Internet Explorer da Microsoft que foi recentemente usada em uma campanha complexa contra pesquisadores de segurança. Uma nova análise do 0patch oferece mais informações sobre onde o bug existe e como ele pode ser acionado em ataques no mundo real – notavelmente, apenas visitando um site.
No início de fevereiro, pesquisadores de segurança cibernética da consultoria sul-coreana ENKI identificaram um exploit de dia zero que disse ter sido usado no ataque do pesquisador. A vulnerabilidade em questão existe no Microsoft Internet Explorer e até o momento em que este artigo foi escrito ainda não foi corrigido, embora a Microsoft tenha dito que estava analisando o relatório do bug.
O ataque aos pesquisadores havia surgido alguns dias antes. Essa campanha, detalhada pelo Threat Analysis Group (TAG) do Google, envolveu hackers provavelmente ligados à Coréia do Norte, que realizaram um elaborado esforço de engenharia social para estabelecer relações de confiança com empresas de segurança. O objetivo final era infectar os sistemas dessas organizações com malware backdoor personalizado.
O esforço incluiu invasores que chegaram a criar seu próprio blog de pesquisa, vários perfis do Twitter e outras contas de mídia social para parecerem pesquisadores de segurança legítimos que estavam procurando “colaborar”.
Na época, o TAG observou que não poderia determinar o mecanismo de comprometimento e pediu ajuda da comunidade de segurança maior.
Microsoft IE Zero-Day descoberto
ENKI atendeu a essa chamada. Era uma das empresas-alvo e, quando os invasores enviaram aos pesquisadores um arquivo MHTML, sob o pretexto de ajudar na pesquisa de segurança, a empresa descobriu um exploit malicioso incorporado para uma falha anteriormente desconhecida.
“O arquivo… é projetado para habilitar a função JavaScript e ler o conteúdo do artigo completamente quando a ação do botão for ativada. Presume-se que isso tenha levado o alvo a usar o navegador Internet Explorer ”, de acordo com o comunicado ENKI (traduzido com o Google Translate). “Se a execução do script for permitida, a carga adicional é baixada duas vezes do site remoto (codevexillium [.] Org) e a carga secundária contém o código de ataque que ataca a vulnerabilidade do navegador Internet Explorer.”
Entregar o exploit em um arquivo MHTML garante que os destinatários o abram no Internet Explorer, que está registrado para abrir esse tipo de arquivo, de acordo com pesquisadores da 0patch, que divulgou uma análise adicional do bug na quinta-feira.
“Embora esse método de entrega exija que os destinatários confirmem um aviso de segurança sobre a execução de conteúdo ativo, a exploração pode ser entregue sem tal aviso se a vítima visitar um site malicioso com o Internet Explorer”, de acordo com a postagem.
A Microsoft reconheceu o relatório de ENKI e emitiu uma breve declaração: “A Microsoft tem o compromisso do cliente de investigar os problemas de segurança relatados e forneceremos atualizações para os dispositivos afetados o mais rápido possível.”
A Microsoft não respondeu imediatamente a uma solicitação de atualização do Threatpost. Nenhum CVE ainda foi atribuído.
Mais detalhes técnicos vêm à luz
Ao quebrar a exploração de prova de conceito (PoC) (não pública) do ENKI, os pesquisadores da 0patch foram capazes de descobrir mais detalhes sobre o bug.
“A vulnerabilidade é um bug ‘double free’ que pode ser acionado com código JavaScript e causa corrupção de memória no espaço de processo do Internet Explorer”, eles explicaram na postagem do blog. “Como costuma acontecer, essa corrupção de memória pode ser cuidadosamente gerenciada e transformada em acesso arbitrário à memória de leitura / gravação – que pode então ser aproveitado para a execução arbitrária de código.”
A análise original de ENKI ofereceu alguns insights sobre esta frente:
“Devido ao bug double-free, as funções alloc1 e alloc2 usam diferentes tipos de objetos, mas alocam dados para o mesmo espaço de endereço de memória, obtendo assim uma condição de confusão de tipo”, explicou a empresa no início de fevereiro. “Para executar código de ataque adicional, o invasor cria um Fake ArrayBuffer com endereço de buffer 0x0 e tamanho 0x7FFFFFFF e, em seguida, cria um objeto DataView que pode ler e gravar toda a memória do espaço do usuário do processo.”
Nenhuma das empresas publicou código de exploit ou PoC e não o fará até que o bug seja corrigido. Mas os pesquisadores da 0patch disseram que a “raiz dessa vulnerabilidade não é nova”.
Eles explicaram, “trata-se de enganar o navegador para excluir um objeto que já foi excluído de alguma forma inesperada que as verificações de sanitização existentes não percebam. Nesse caso, trata-se de excluir um valor de nó de um Atributo HTML. O truque é criar um atributo, atribuir a ele um valor que não seja uma string ou um número, mas um objeto (por que isso é permitido?) – então, ao deletar esse atributo, esse objeto garante que o atributo seja deletado antes dele é excluído, por assim dizer. ”
Executando código nativo para espionagem
Os pesquisadores da 0patch também divulgaram detalhes adicionais sobre como o bug pode ser transformado em arma.
Eles descobriram que simplesmente abrir um site malicioso resultaria automaticamente na execução de código nativo dentro do processo de renderização do Internet Explorer. A exploração também pode ser desencadeada por meio de um site benigno que hospeda um anúncio malicioso, de acordo com a análise, que abre várias vias de ataque.
O processo de renderização do Internet Explorer é executado por padrão no modo de baixa integridade, o que significa que o código executado pode ler todos os dados do computador e da rede que o usuário pode acessar, enviando-os para os atacantes em segundo plano, de acordo com 0patch.
“Uma vulnerabilidade adicional seria necessária para escapar da sandbox de baixa integridade e comprometer o computador a longo prazo”, explicaram os pesquisadores.
O impacto potencial de uma exploração pode ser significativo, alertaram os pesquisadores: “Embora o Internet Explorer não seja mais amplamente usado para navegar em sites, ele é instalado em todos os computadores Windows e (a) abre arquivos MHT / MHTML por padrão, (b) está sendo usado internamente em muitas organizações grandes e (c) executa conteúdo HTML em vários aplicativos do Windows. ”
Corrigindo o Microsoft IE Zero-Day
0patch lançou um micropatch gratuito para tampar a falha de segurança antes de uma correção oficial. Ele admitiu que adotou uma abordagem diferente daquela que o patch da Microsoft incluirá.
“Decidimos quebrar a obscura funcionalidade do navegador que permite definir um valor de Atributo HTML para um objeto”, disseram os pesquisadores. “Avaliamos que essa funcionalidade é útil para muito poucos desenvolvedores da web cujos aplicativos deveriam funcionar com o Internet Explorer.”
A Microsoft, por outro lado, “provavelmente corrigirá a maneira como o nó de atributo é excluído para que não seja realmente excluído enquanto as referências a ele ainda existirem”, de acordo com o post. “Decidimos que tal abordagem simplesmente exigiria muito tempo para nós e introduziria um risco desnecessário de quebrar alguma coisa.”
Ninguém detalhou exatamente quais iterações do Windows ou do Internet Explorer são vulneráveis, uma possível pista está nas versões do Windows abordadas pelo micropatch (32 bits e 64 bits): Windows 7, Windows 10, Windows Server 2008 R2, Windows Server 2016 e 2019.
“Quando o ataque de engenharia social contra pesquisadores de segurança por agentes mal-intencionados da Coréia do Norte foi relatado no final de janeiro de 2021, parecia que havia mais esforço do que era conhecido ou relatado atualmente”, disse Saryu Nayyar, CEO da Gurucul, via o email. “O relatório da ENKI de que os invasores estavam aproveitando uma exploração de dia zero no Internet Explorer reforça essa suposição. Conforme a extensão do ataque se torna mais evidente, mais das técnicas que eles usaram, incluindo mais novas explorações, virão à luz. ”
Ela acrescentou: “Com o que já se sabe, é evidente que mesmo os pesquisadores de segurança mais experientes precisam permanecer vigilantes. Embora tenham um grande conhecimento e experiência, os invasores contam com novos recursos, com novos vetores de exploração e a habilidade de criar ganchos muito convincentes ”.
Fonte: https://threatpost.com/