Internet Explorer Zero-Day Saldırısı, CVE-2014-1176

   28 Nisan 2014   560 kere okundu.      Ipucu - Microsoft - Security

26 Nisan 2014 tarihli Microsoft “Security Tech Center” bültenine göre Internet Explorer 6 dahil olmak üzere Intenet Explorer 11 versiyonuna kadar tüm sürümleri etkileyen bir “Zero-Day)” saldırısı açığı tespit edildi.

ie11_0

Microsoft açıklık raporunda (2963983) Internet Explorer 6, 7, 8, 9, 10 ve 11’i hedef alan saldırıların gerçekleştirildiğinden haberdar olduğunu açıklamıştır. Hassasiyet uzaktan komut (arbitrary code execution)  çalıştırmaya imkan vermektedir.

Açıklık Internet Explorer’ın hafızadan silinmiş ya da uygun bir şekilde bellek tahsisi yapılmamış bir nesney ulaşmaya çalışmasıyla ortaya çıkmaktadır. Açıklık mevcut kullanıcı yetkileri ile sınırlı kalarak saldırganın hafızayı hazırlanmış bir kod ile bozabilmesine imkan vermektedir. Bu açıklıktan faydalanmak için kod çalıştırmaya izin verecek bir web sitesi hazırlanmalı ve kullanıcı tarafından bu site ziyaret edilmesi ile kodun hafızada istenen değişikliği yapması sağlanmalıdır.

thehackernews” sitesinin haberine göre Microsoft ve FireEye güvenlik uzmanları ile beraber Operation Clandestine Fox projesi kapsamında açıklık üzerindeki çalışmalarına devam etmektedir. Aynı konu ile ilgili olarak FireEye grubu bir blog sayfasında açıklığa nasıl saldırılabileceğini açıklamaktadır. Yapılan açıklamalara göre açıklıktan faydalanılarak mevcut kullanıcının hakları ele geçirilebilmektedir. Standart ev kullanıcılarının hemen hemen hepsi yönetici yetkileri (administrator) ile bilgisayarlarını kullandığı düşünülürse açıklığın ne kadar ciddi olduğu daha da iyi anlaşılmış olur.

Saldırı gerçekleştirmek için Adobe Flash eklentisi içerisine gömülmüş (embeded) bir kod aracılığı ile saldırı amacıyla hazırlanmış JavaScript kodunun çalıştırılması gerekmektedir. Böylece hasasiyet gösteren Adobe Flash .swf dosyası ile Windows ASLR ve DEP korumaları atlanarak saldırı gerçekleştirilmektedir.

 Zero-Day Saldırısından Bilgisayarınızı Nasıl Korursunuz:

1. Microsoft Tech Net haberine göre açıklık için hali hazırda geliştirilmiş bir update bulunmamaktadır. Ancak 13 Mayıs 2014 tarihli “gelecek Salı güncellemesi”nde göncellenmesi beklenmektedir.

2. Güncelleme yayınlana kadar, Enhanced Mitigation Experience Toolkit (EMET 4.1) indirilerek kurulması hafızada değişiklik yaratarak uzaktan kod çalıştırmasını engellemektedir.

3. EMET’e ek olarak Internet Güvenlik Ayarlarından ActiveX kontrollerini ve script çalıştırılmasını engelleyebilirisiniz.

Tools – Internet Options – Security – Internet – Custom Level – Scripting Settings – Disable Active Scripting

Local intranet Custom Level Settings – Disable Active Scripting

Security_IES_Settings Security_IES_Settings_1

4. Internet Explorer 10 ya da üstü bir sürüm kullanıyorsanız Enhanced Protected Mode’u devreye geçirerek Zero-Day saldırısından koruyabilirsiniz.

5. Adobe Flash Eklentisini devre dışı bırakmakta açıklıktan yaralanılmasını engeller.

6. Son olarak VGX.dll (VML “Vector Markup Language” dilinin derlenmesinden sorumludur.) dosyasını “redsvr32 –u “CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” komutunu cmd’ye yazarak çalıştırarak tekrar kayıt (de-register) etmek flash player özelliklerinin yenilenmesini sağlayacaktır.

Emre Çağlar HOŞGÖR


Yorum Yapmak İster Misiniz?

A

@

W