Исследователи заявляют о наличии 0day уязвимости в Internet Explorer

Исследователь безопасности Ерик Романг (Eric Romang) заявил в своем блоге о том, что ему удалось обнаружить эксплоит к неизвестной ранее уязвимости в Internet Explorer. По словам эксперта, он изучал скомпрометированные серверы, которые использовали участники хакерской группы Nitro. Суть бага заключается в том, что он позволяет обходить систему рандомизации ASLR (address space layout randomization), созданную как раз для затруднения атак.

В каталоге /public/help было обнаружено 4 файла (exploit.html, Moh2010.swf, Protect.html и 111.exe), которые привлекли особое внимание Романга. Все файлы были открыты на тестовой машине с полностью обновленной OC Windows XP Professional Edition SP3, а также последней версий Adobe Flash. Запуск этих файлов привел к тому, что в систему был загружен файл дроппера.

По словам исследователя, при открытии web-страницы exploit.html, в браузер жертвы загружается Flash видео, которое, в свою очередь загружает очередную HTML страницу protect.html. После этого на систему жертвы устанавливается выполняемый файл 111.exe. Таким образом, хакер может скомпрометировать целевую систему.

Исследователи Vulnhunt также опубликовали анализ данного эксплоита и подтвердили, как его опасность, так и то, что уязвимым является именно Internet Explorer. Член группы разработчиков Metasploit заявил о том, что он уже занимается разработкой модуля эксплоита.

Более подробная информация о баге доступна по адресу https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit