Хакер #305. Многошаговые SQL-инъекции
Исследователи компании Proofpoint опубликовали подробности о критической уязвимости, которая была устранена в браузерах Internet Explorer и Edge 13 сентября 2016 года, в ходе очередного «вторника обновлений». Специалисты рассказали, что 0-day CVE-2016-3351 применяется злоумышленниками уже почти два года: данный баг хакеры активно эксплуатировали в ходе вредоносных рекламных кампаний.
Согласно официальным данным Microsoft, свежие бюллетени безопасности MS16-104 и MS16-105 устранили критическую уязвимость CVE-2016-3351, которая позволяла атакующим получить доступ к информации, которая может быть использована для последующей компрометации системы. Для эксплуатации данной проблемы, злоумышленнику достаточно просто заманить жертву на скомпрометированный или созданный специально вредоносный сайт.
Теперь специалисты компании Proofpoint пишут, что данная проблема использовалась в ходе вредоносных рекламных кампаний с января 2014 года. Баг эксплуатировался во время доставки вымогателя Reveton в системы пользователей, которая осуществлялась при помощи тогда еще работавшего набора эксплоитов Angler.
Данную уязвимость, в частности, эксплуатировали хакеры из групп AdGholas и GooNky (примеры эксплуатации бага в коде обеих групп на иллюстрациях ниже). Первая группа известна именно благодаря масштабными операциями в области вредоносной рекламы. В результате кампаний этих хакеров ежедневно страдали миллионы машин, а распространяемая ими малварь заражала тысячи пользователей.
Специалисты рассказали, что в работе группа часто применяет стеганографию, а также уязвимости, о которых еще не стало известно широкой публике. Это помогает злоумышленникам избегать обнаружения.
Баг CVE-2016-3351 хакеры тоже использовали для этих целей. Уязвимость помагала обнаруживать виртуальные машины, песочницы и потенциально опасное для малвари окружение. Эксплуатируя проблему, злоумышленники инициировали так называемую «атаку на проверку MIME-типов». Атакующие искали типы файлов, которые часто используются специалистами по безопасности в ходе реверс-инжиниринга. По умолчанию поиск производился по файлам .cap, .hwl, .har, .halog, .chls, .py, .bfr и .pcap, а иногда и по более распространенным типам файлов, таким как .torrent, .mkv или .doc, проверяя их ассоциации с приложениями. Если подозрительные файлы обнаруживались, злоумышленники делали вывод, что компьютер принадлежит ИБ-специалисту и дальнейшая работа малвари на нем небезопасна. В таком случае JavaScript, который перенаправлял обычных пользователей по вредоносным ссылкам, просто переставал работать.