Jump to content
herakty

Perigoso Bug no word e como funcionam estes exploits

Recommended Posts

herakty

antes demais PARABÉNS AO APOCSANTOS pela moderação desta secção tão carinhosamente criada já há uns anos... assim sinto que está em boas mãos... tudo de bom para ti :D

são os tais exploits que exploram falhas não no programa que estão a usar, como o browser, nem no SO de base, mas antes nos componentes que o programa ou SO usam... dai ser mesmo necessário hoje actualizar tudo o que tenham no PC

e este mostra que não há mesmo barreiras e nível de SO e afecta o MAC como o Windows. com a massificação do uso do MAC vamos ver as ameaças para ele subirem, apesar desta ser uma situação do OFFICE e não do SO

Este tipo de vulnerabilidade é particularmente problemático e é daqueles que eu venho falando serem difíceis de proteger, mesmo para um user avançado, pois o mesmo não sabe o que se está a passar durante a infecção... a alta complexidade dos exploits já apanhados que recorrem a este bug, mostram que o cracking está cada vez mais activo e com capacidades únicas de desenvolvimento.

eu digo isto porque são criados exploits que tiram partido de problemas em subcomponentes, como já vinha falado e este é um excelente exemplo... vejam este texto do artigo original e digam se hoje a insegurança é paranóia ou é mesmo algo extremamente evoluído e como tal... mt perigoso... hoje as tais regras de boa conduta na net já não chegam para defesa... nem acrescentando defesas, pois as defesas apenas param o que conhecem e hoje os vírus vão mudando de assinatura, criando o caos nas bibliotecas de assinaturas. já devem ter reparado e achado estranho a cena das variantes.

quando o AV acusa o virus XPTO variante YZ.... montes deles com nomes idênticos e derivados.

mas vejam este texto do artigo apresentado:

"Once a [malformed] message hits the Outlook preview pane, remote code can be executed. You should patch this right away," Jason Miller, the data and security team manager for Shavlik Technologies, said on the day Microsoft released the patch.
The attack uses a malicious RTF (Rich Text Format) file to generate a stack overflow in Word on Windows, said MMPC researcher Rodel Finones. Following a successful exploit, the attack code downloads and runs a Trojan horse on the compromised computer.

são exploits que tiram partido de componentes instalados no vosso PC (podem ser mts mesmo) e sem que voçes se apercebam, estes exploits chamam API´s ou o que for desses sub componentes instalados e assim conseguem exploitar com sucesso o sistema e fazer o que quiser, desde abrir uma sessão com uma backdoor, até o que se consegue imaginar

neste caso basta abrir o email no outlook, pois a M$ mistura tudo e há componentes que são chamados por diversos programas, como é o caso do leitor de RTF. como há um BUG nesse componente, ao abrir o email o código do exploit faz-lhe uma chamada e aplica o código especial que causa a possibilidade de execução de código... a partir daqui é com a imaginação, pois tudo é possível

e isto pode acontecer navegando num site, seja ele aquele em que mais confiam, pois pode ter sido atacado e ter lá o código malicioso que faz com que quem o visite fique infectado, pois o site chama e aplica o exploit ao componente, neste caso do word. isto sem que se apercebam

percebem então a importância de actualizar tudo e não só o SO base? as actualizações são essenciais... sem elas não se podem ligar à net.

estão a ver o que tenho vindo a alertar? o ppl do home banking sabe o que isto significa? é que seja qual for a protecção do home banking, se um programa tem acesso total a SO, ele consegue interceptar e tratar o sistema de mensagens que é a base de todos os SO´s.

o windows até tem uma técnica que é "window hook" e foi mt usada para captar processos e janelas no sistema base de mensagem do SO. com isto é possível captar a sessão do browser, saber se estão ligados no home banking e manipular tudo o que vai do browser para o banco.

ora, com isto é possível manipular transacções sem o vosso conhecimento, pois há VÍRUS que conseguem interceptar a sessão no browser, depois de todos os passos de segurança e no ultimo momento, quando por exemplo chega a parte de colocar o código recebido no TM e autorizam, a nível informático o que acontece é que há uma sessão autorizada entre o vosso browser e o banco.

e se esta sessão for interceptada e o valor, assim como a conta de destino forem alteradas no POST para o banco, depois de a sessão ter sido autorizada e validada?

acredito que neste momento já há uma industria do cracking que financia investigação a tempo inteiro de várias equipes, para não falar nos projectos de investigação de cracking por parte das agências de cyber war por este mundo fora.

isto é como o armamento nuclear... desenvolveram-se armas hyper potentes para atacar o inimigo e ninguém se lembrou que outros iriam usar esta mesma tecnologia contra os criadores da mesma. é uma caixa de Pandora... nunca se deve abrir

atenção que conhecimento e divulgação de conhecimento é uma coisa. criar worms e malwares para uso de agências, que depois se espalham e infectam indiscriminadamente é outra. e isto está a acontecer, sabendo que a maioria é proveniente do mundo do crime organizado. eu pessoalmente acho que um governo como o da China ou Usa são grandes instituições de crime organizado. mas isto é outro assunto e vamos deixar de fora

Actualização oficial:

http://www.microsoft.com/technet/security/bulletin/ms10-087.mspx

Microsoft warns of Word attacks

http://www.computerworld.com/s/article/9202819/Microsoft_warns_of_Word_attacks?source=CTWNLE_nlt_dailyam_2011-01-03

assinatura de uma variante:

http://www.virustotal.com/file-scan/report.html?id=308ab831d924e8d3cc4d7b470e149b1b907437da5ba9daa377474d8a2efa51bb-1293453796

teckV

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.