Tuesday, April 3

การตรวจจับ windows animated cursor exploitation


พบช่องโหว่ บน Windows ในส่วนที่จัดการกับไฟล์ animated cursor (.ani)
ระบบปฏิบัติการที่มีผลกระทบคือ Windows 2000 SP4, Windows XP SP2, Windows Server 2003 และ Windows Vista ในส่วนที่จัดการกับไฟล์ animated cursor (.ani) ผู้โจมตีอาจสามารถสร้างหน้าเว็บหรือข้อความอีเมลแบบพิเศษเมื่อเปิดโดยผู้ใช้เป้าหมายแล้วจะทำให้โค้ดที่ผู้โจมตีต้องการเอ็กซิคิวท์ในระบบได้

ในขณะนี้ยังไม่มีซอฟท์แวร์แก้ไขช่องโหว่นี้จากไมโครซอฟท์ แต่มีคำแนะนำสำหรับผู้ใช้ Outlook เวอร์ชั่น 2002 หรือสูงกว่า และ Outlook Express 6 SP1 หรือสูงกว่าให้อ่านข้อความอีเมลในแบบ plain text เพื่อป้องกันจากการโจมตีอาจที่มาพร้อมกับอีเมลที่เป็น HTML

ผมคิดว่าช่องโหว่นี้เป็นภัยคุกคามที่อันตรายสำหรับผู้ใช้งานระบบปฏิบัติการ Windows อยู่ไม่น้อย เนื่องจากยังเป็น 0 day อยู่ ที่พร้อมเป็น Worm ได้ เมื่อข่าวจาก ทีม Chinese Internet Security Response Team
มีความเป็นไปได้ในการแพร่กระจาย Worm ชนิดนี้ผ่าน USB Drive หรือพวก removable media
มีชื่อ files ที่ควรระวัง คือ tool.exe และการมี file ชื่อ autorun.inf บน USB Drive เป็นต้น
ในการตรวจจับลักษณะช่องโหว่นี้ สามารถเขียน Signature ใน snort เพื่อทำการตรวจจับได้ และป้องกันทาง Network ได้ดังนี้

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Microsoft ANI file parsing overflow"; flow:established,from_server; content:"RIFF"; nocase; content:"anih"; nocase; byte_test:4,>,36,0,relative,little; reference:cve,2004-1049; classtype:attempted-user; sid:3079; rev:3;)

Domains และ IP ที่ใช้ในการ Exploit ได้แก่
1.520sb.cn
220.71.76.189
222.73.220.45
55880.cn
81.177.26.26
85.255.113.4
bc0.cn
client.alexa.com
count12.51yes.com
count3.51yes.com
d.77276.com
fdghewrtewrtyrew.biz
i5460.net
jdnx.movie721.cn
newasp.com.cn
s103.cnzz.com
s113.cnzz.com
ttr.vod3369.cn
uniq-soft.com
wsfgfdgrtyhgfd.net
www.04080.com
www.33577.cn
www.baidu.com
www.h3210.com
www.hackings.cn
www.koreacms.co.kr
www.macrcmedia.com
www.macrcmedia.net
www.ncph.net
www.xxx.cn
ym52099.512j.com
www.jonnyasp.com
ภาพ Video Windows XP .ANI Exploit



อ่านเพิ่มเติมได้ที่
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://isc.sans.org/diary.html?storyid=2151
http://infosec.sran.org/modules.php?op=modload&name=News&file=index&catid=&topic=3

นนทวรรธนะ สาระมาน
Nontawattana Saraman



No comments: