Уязвимости нулевого дня в браузере Internet Explorer выявляются регулярно. Иногда бывает, что их находят по результатам какой-либо таргетированной атаки. Так произошло и в этот раз с новой уязвимостью CVE-2014-0322. Эксплойт для IE 9/10 использовали как минимум две хакерские группы.
Самое интересное, что и сам эксплойт оказался необычным. Дело в том, что его код разделен между JavaScript и Adobe Flash, так что отдельные части программы передают управление друг другу. Эксперт из антивирусной компании Trend Micro называют такой эксплойт гибридным. Подобная техника помогает обойти защитные механизмы операционной системы ASLR и DEP.
В случае с последним эксплойтом на веб-страницу добавляют дополнительный скрипт и фрейм с swf. Всего загружается два файла.
- Erido.jpg (определяется как HTML_EXPLOIT.PB)
- Tope.swf (определяется как SWF_EXPLOIT.PB)
Сначала флэш-файл инициирует загрузку кода по определенному адресу памяти (heap spray), затем управление передается обратно JavaScript, который эксплуатирует уязвимость CVE-2014-0322 — и снова передает управление программе на Flash, уже в ней содержится код для записи и чтения из памяти.
Эксперты предполагают, что подобные методы возвратно-ориентированного программирования (ROP) в будущем будут все чаще применяться злоумышленниками, чтобы создавать более эффективные эксплойты для всех платформ.
