0day уязвимость IE 6/7/8 под номером CVE-2012-4792 использовали в политических целях

Специалисты из FireEye обнаружили вредоносный код на сайте Совета по международным отношениям США (www.cfr.org), очень влиятельной некоммерческой организации, которая занимается аналитической обработкой внешнеполитического курса США. Организация основана в 1918 году при поддержке крупных банков и финансовых организаций Уолл-стрит, а её миссия формулировалась как «пробудить Америку к её всемирной ответственности».

Членами СМО являются 4500 человек, среди них большинство лиц, которые оказали значительное влияние на внешнюю политику США в последние десятилетия. Подробнее об «истинных задачах» Совета по международным отношениям США можно прочитать в советской пропагандистской литературе.

27 декабря на сайте Совета по международным отношениям США был обнаружен вредоносный код JavaScript, который разместили примерно за неделю до этого (21 декабря). Скрипт загружал эксплойт, который использовал ранее неизвестную 0day-уязвимость в Internet Explorer 8 и более ранних версий. Уязвимость связана с некорректной обработкой контента Adobe Flash.

Интересно, что скрипт срабатывал только для пользователей, у которых язык операционной системы распознавался как английский, китайский, японский, корейский и русский. Скрипт также проверял cookies, чтобы не поставлять эксплойт одному пользователю дважды.

После проверки скрипт запускал вредоносный файл today.swf, а также записывал в кэш xsainfo.jpg. Он выступал в качестве дроппера и скачивал flowertep.jpg, который декодируется как DLL, а также бинарник shiape.exe, который после исполнения внедрял код в процесс iexplore.exe и прописывался в реестре HKLMSOFTWAREMicrosoftActive SetupInstalled Components.

29 декабря компания Microsoft подтвердила факт уязвимости и опубликовала бюллетень безопасности. Уязвимости присвоен идентификатор CVE-2012-4792. Разработчики эксплойт-пака Metasploit уже опубликовали анализ уязвимости. Выпущен также Proof-of-Concept.

PoC уязвимости CVE-2012-4792 для Internet Explorer 6/7/8