Уязвимости нулевого дня в браузере Internet Explorer выявляются регулярно. Иногда бывает, что их находят по результатам какой-либо таргетированной атаки. Так произошло и в этот раз с новой уязвимостью CVE-2014-0322. Эксплойт для IE 9/10 использовали как минимум две хакерские группы.

Самое интересное, что и сам эксплойт оказался необычным. Дело в том, что его код разделен между JavaScript и Adobe Flash, так что отдельные части программы передают управление друг другу. Эксперт из антивирусной компании Trend Micro называют такой эксплойт гибридным. Подобная техника помогает обойти защитные механизмы операционной системы ASLR и DEP.

В случае с последним эксплойтом на веб-страницу добавляют дополнительный скрипт и фрейм с swf. Всего загружается два файла.

  • Erido.jpg (определяется как HTML_EXPLOIT.PB)
  • Tope.swf (определяется как SWF_EXPLOIT.PB)

Сначала флэш-файл инициирует загрузку кода по определенному адресу памяти (heap spray), затем управление передается обратно JavaScript, который эксплуатирует уязвимость CVE-2014-0322 — и снова передает управление программе на Flash, уже в ней содержится код для записи и чтения из памяти.

Эксперты предполагают, что подобные методы возвратно-ориентированного программирования (ROP) в будущем будут все чаще применяться злоумышленниками, чтобы создавать более эффективные эксплойты для всех платформ.

Оставить мнение