| RSS



Меню

Bookmark and Share


Календарь
«  Декабрь 2008  »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
293031

Статистика
Ваш IP: 44.200.94.150
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » 2008 » Декабрь » 17 » Защита от 0-day в Internet Explorer
08:58
Защита от 0-day в Internet Explorer

Как простому человеку защитить себя?

Если вы не компьютерный гуру и не читаете перед сном SecurityLab, можете смело выполнить инструкции из этого раздела и спокойно работать. Для выполнения одного из предложенных решений необходимо скачать файл solutions.zip и/или oledb32.zip и следовать нижеперечисленным инструкциям.

Для быстрого решения проблемы выполните инструкции, описанные в решении #4.

Информация об уязвимости

Уязвимость «нулевого дня» была обнаружена в Internet Explorer 7, и, по результатам исследований присутствует в других версиях Internet Explorer. Злоумышленник может выполнить произвольный код в уязвимой системе и установить вредоносные программы на компьютер при просмотре Web-сайта.

Уязвимость существует из-за повреждения памяти при обработке связываний DHTML данных (DHTML Data Binding) в Internet Explorer. Уязвимость распространяется на все поддерживаемые в настоящее время версии Internet Explorer. Специально сформированный HTML код, который использует эту уязвимость, приводит к тому, что IE создает массив из объекта связывания данных. Вредоносный код приводит к тому, что IE ссылается на объект, который был ранее инициализирован. Этот класс уязвимости эксплуатируется путем подготовки динамической памяти, содержащей контролируемые злоумышленником данные (“heap spray”), до разыменования некорректного указателя.

В настоящее время уязвимость активно используется для установки вредоносного программного обеспечения через взломанные сайты (ссылки).

Какое временное решение следует использовать?

Сейчас уведомление Microsoft содержит 8 различных вариантов блокирования уязвимости. Microsoft добавила дополнительные способы решения проблемы в последней версии уведомления, чтобы дать пользователям больше возможностей для устранения уязвимости. Только в IE8 существует возможность полностью отключить механизм связывания данных. Если вы не используете IE8, вам понадобится следующее:

  1. заблокировать доступ к уязвимому коду в библиотеке MSHTML.dll через OLEDB, что позволяет блокировать текущие векторы использования уязвимости
  2. применить самую безопасную конфигурацию, блокирующую проблемный код против этой уязвимости

Опциональный вариант (C) может применяться для усложнения контроля злоумышленника над динамической памятью.

Временное решение

A

B

C

1. Установить зоны безопасности Internet и Local в значение «High». Это позволит выводить окно с запросом на выполнение/запрет AсtiveX компонентов и Active Scripting в этих зонах для каждого сайта.

 

X

X

2. Настройть Internet Explorer на вывод запроса перед запуском Active Scripting или отключите Active Scripting в зонах безопасности Internet и Local.

 

X

X

3. Запретить Internet Explorerиспользовать OLEDB32.dll с помощью Integrity Level ACL

X

 

 

4. Запретить функционал Row Position в OLEDB32.dll

X

 

 

5. Отменить регистрацию OLEDB32.DLL

X

 

 

6. Использовать ACL для запрета OLEDB32.DLL

X

 

 

7. Запретить функционал XML Island

X

 

 

8. Включить DEP для Internet Explorer на Windows Vista и Windows Server 2008

 

 

X

9. Отключить поддержку связывания данных в Internet Explorer 8

X

X

 

Применение временного решения из колонки (A) поможет защититься от настоящих атак. Для полноценной защиты от уязвимости мы также рекомендует применить решение из колонки (B).

Зачем перечислять 4 вида опций для защиты от вектора атаки, использующего провайдер OLEDB данных?

Давайте кратко обсудим временные решения 3-5, каждый из которых описывает способ защиты от вектора атаки на провайдер OLEDB.

5 & 6 –отменить регистрацию или отключить OLEDB32.DLL через ACL (списки контроля доступа)

Microsoft перечислила эти решения во вчерашнем уведомлении, и они остаются действительными. У этого решения есть побочное действие. Все приложения, использующие какую-либо часть библиотеки, не будут функционировать.

Решение #5

Отмена регистрации OLEDB32.DLL

Для 32-битной системы (Windows 2000, XP, 2003, Vista, 2008) выполните команду:

Regsvr32.exe /u "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

Для 64-битной системы (Windows 2000, XP, 2003, Vista, 2008) выполните команды:

Regsvr32.exe /u "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
Regsvr32.exe /u "%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll"

Повторная регистрация (отмена временного решения) OLEDB32.DLL в системе

Для 32-битных систем выполните команду:

Regsvr32.exe "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

Для 64-битных систем выполните команды:

Regsvr32.exe "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
Regsvr32.exe "%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll"

Решение #6

Отключение OLEDB32.DLL с помощью ACL

Скачайте архив solutions.zip и выполните соответствующий файл:

Для 32-битных ОС Windows 2000, XP, 2003

DisableACL-32bit.cmd

Для 64-битных Windows XP и 2003

DisableACL-64bit.cmd

Для 32-битных Windows Vista и Windows 2008

DisableACL-Vista-32bit.cmd

Для 64-битных Windows Vista и Windows 2008

DisableACL-Vista-64bit.cmd

Для отмены временного решения по отключению OLEDB32.DLL с помощью ACL и выполните соответствующий файл:

Для 32-битных ОС Windows 2000, XP, 2003

EnableACL -32bit.cmd

Для 64-битных Windows  XP и 2003

EnableACL-64bit.cmd

Для 32-битных Windows Vista и Windows 2008

EnableACL-Vista-32bit.cmd

Для 64-битных Windows Vista и Windows 2008

EnableACL-Vista-64bit.cmd

4 – Отключитьфункционал Row Positionв OLEDB32.dll

По нашим данным, отключение одного COM объекта OLEDB32 достаточно для блокировки доступа к уязвимой части кода. Хотя мы и указываем решения 5 и 6 в уведомлении, но решение #4 более предпочтительно, т.к. также эффективно как решения 5 и 6, но менее заметно.

Для отключения COM объекта OLEDB32 необходимо выполнить следующий reg файл:

DisableRowPosition.reg

Для отмены временного решения выполните файл:

UndoDisableRowPosition.reg

- Запретить Internet Explorer использовать OLEDB32.dll с помощью Integrity Level ACL

Это еще одно решение для блокировки доступа к провайдеру OLEDB данных. Большой плюс этого решения – доступ блокируется только для Internet Explorer и не затронет другие приложения. Применение этого решения возможно только, когда включены UAC и IE Protected Mode (по умолчанию на Windows Vista и Windows Server 2008). Мы более подробно опишем это решение, т.к. оно достаточно хорошее.

Подробности решения с IntegrityLevelACL

Внимание, это решение применимо только для ОС Windows Vista и выше

Для внедрения этого типа защиты, наше решение базируется на том факте, что по умолчанию Internet Explorer запускается с включенным Protected Mode. Это означает, что процесс iexplore.exe запускается на низком уровне целостности. Подробности работы этого режима можно найти по адресу: http://msdn.microsoft.com/en-us/library/bb250462.aspx. Как написано в статье, механизм целостности позволяет заблокировать процессу возможность записи данных в защищенные объекты (например, файлы), имеющие более высокий уровень целостности. Но в статье не указывается, что также возможно запретить процессу читать и выполнять защищенные объекты с более высоким уровнем целостности. Это осуществляется путем применения специальной записи ACL для объекта. Ниже, мы расскажем, как это осуществить для OLEDB32.DLL.

Перед реализацией решения необходимо создать временную директорию и скопировать в нее inf файл из архива oledb32.zip. Для 32-битной системы используйте BlockAccess_x86.inf, для 64-битной - BlockAccess_x64.inf. Запустите командную строку с привилегиями администратора, перейдите в созданную вами директорию и выполните следующую команду:

>SecEdit /configure /db BlockAccess.sdb /cfg <файл.inf>

При успешном выполнении команды будет выдан следующий результат:

    The task has completed successfully.
    See log %windir%\security\logs\scesrv.log for detail info.

SecEdit также создаст файл BlockAccess.sdb в текущей директории. Его можно будет удалить вместе с inf файлом.

Проверка работоспособности временного решения

Для 32-битной системы достаточно выполнить команду:

icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

Для 64-битной системы будет нужно выполнить команду icacls дважды:

icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
icacls "%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll"

Наличие следующей строки в выводе команды icacls свидетельствует об успешном применении временного решения:

Mandatory Label\Medium Mandatory Level:(NW,NR,NX)

Значения NR и NX свидетельствуют об успешном выполнении команды, отсутствие строки или одного из значений (NR либо NX) говорит о неуспешно выполненной операции.

Отключение временного решения

Для отмены временного решения необходимо скопировать из архива inf файл (для 32-битной системы UnblockAccess_x86.inf, и UnblockAccess_x64.inf для 64-битной), и выполнить команду:

SecEdit /configure /db UnblockAccess.sdb /cfg <файл.inf>

Ссылки:

http://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://msdn.microsoft.com/en-us/library/ms531388(vs.85).aspx
http://msdn.microsoft.com/en-us/library/bb250462.aspx
http://blogs.technet.com/swi/attachment/3167803.ashx
http://www.securitylab.ru/vulnerability/364549.php
http://www.securitylab.ru/analytics/364556.php
http://www.securitylab.ru/blog/personal/tecklord/7341.php

Категория: | Просмотров: 2129 | Добавил: aka_kludge | Теги: | Рейтинг: 0.0/0
Всего комментариев: 1

1 aka_kludge пишет:

(17.12.2008 08:59)

Linux The BEST

0



Главная
...
На службе : дней

15:47
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск

Архив записей


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика