Wednesday, December 20

0 day Exploit Microsoft Word

ข่าวจาก Infosec.sran.org กล่าวว่า

US-CERT เตือนถึงช่องโหว่ที่สามใน Microsoft Word ที่แตกต่างจากช่องโหว่สองประเด็นก่อนที่มีรายงานก่อนหน้านี้ ช่องโหว่นี้เกิดจาก memory corruption error เมื่อจัดการกับเอกสาร Word ที่ผิดรูปแบบ โดยการหลอกล่อให้ผู้ใช้เปิดเอกสาร Word ที่สร้างขึ้นมาพิเศษ ผู้โจมตีสามารถเอ็กซิคิวท์โค้ดที่ต้องการหรือโจมตีแบบ denial of service ได้

US-CERT เตือนให้ผู้ใช้ Microsoft Word ไม่เปิดเอกสาร Word หรือไฟล์ที่แนบมาพร้อมกับอีเมลที่มาจากแหล่งไม่น่าเชื่อถือ หรือได้รับอย่างไม่คาดหวังจากแหล่งที่น่าถือ และใช้ซอฟท์แวร์แอนตี้ไวรัสสแกนไฟล์ที่แนบมาก่อนเปิดทุกครั้ง

รายละเอียดเกี่ยวกับโค้ดทดสอบช่องโหว่

http://www.us-cert.gov/current/current_activity.html#mswd3vl
http://www.eweek.com/article2/0,1895,2072969,00.asp

เหตุการณ์จริงที่พบ
ใน site หนึ่งที่พบ Exploit นี้
ระบบ SRAN Security Center จับบันทึกได้
เรามาผ่าพิสูจน์ (Forensic) Payload ของ Exploit ตัวนี้กัน

คลิกที่รูปเพื่อดูภาพใหญ่
การจับ SRAN ตาม Signature พบว่า "EXPLOIT Microsoft Office Data Structure Corruption" เป็น Unkown Risk เนื่องจากเข้ากลุ่ม 0 day attacks
ติดตาม Protocol แบบ TCP โดยมีการเชื่อมโยง จาก Source IP port 80 ไปยัง Destination port 2382 คงที่
เมื่อทำการ zoom ลงไปเพื่อดูค่า payload โดยใช้เทคนิค Deep packet Insepection จะเห็นได้ดังนี้
คลิกที่รูปเพื่อดูภาพใหญ่

คลิกที่รูปเพื่อดูภาพใหญ่
คลิกที่รูปเพื่อดูภาพใหญ่
สังเกตว่าค่า Payload เมื่อทำเป็นค่า Binary จะเห็นเหมือนกันคือตามแทบสีน้ำเงินที่ได้ทำไว้ และ Raw Packet จะมีการเรียงตัวตามกรอบสีแดงที่เขียนไว้ ลักษณะเช่นนี้คือ 0 day Exploit Microsoft Word ซึ่ง ณ เวลาที่เขียนยังไม่มี Patch รักษา และมีโอกาสกลายเป็น Worm ได้ในช่วงเวลาอันใกล้

ตรวจจับโดยใช้ การเขียน signature snort สามารถใช้ได้ใน snort 2.4.x - snort 2.6.x

ขอบคุณ Shirkdog ผู้เขียน signature นี้ในวันที่ 14 ธันวาคม 2549 วันเดียวกันที่พบ 0 day นี้
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:”BLEEDING-EDGE EXPLOIT Microsoft Office Data Structure Corruption (unpatched)”; flow:established,to_client; content:”|CF 11 E0 A1 B1 1A E1|”; content:”|00 00 00|”; distance:617; within:3; byte_test:4,>,1677
215,0,relative,little; sid:2003212; rev:1;)


นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: