티스토리 뷰


휴~~ 울릉도 여행을 다녀오자마자 너무 바쁜 하루하루를 보냈습니다.

많은 제로데이 취약점들이 튀어 나왔으나 이제서야 한 동안 미뤄두었던 빨간 거짓말 몇 자 적어봅니다.

 

지난 주 최근 발견된 CVE-2010-3962 인터넷익스플로러 제로데이 취약점을 이용한 실제적인 공격이 활성화되면서 다들 바쁜 움직임들을 보이기 시작했고.. 아마 다음주까지 이어지겠죠??? ^^;;;

MS 측에서도 바쁘게  필드 소식을 수집하는 것을 보면 아마두 곧 OOB(긴급) 보안패치 소식이 나오지 않을까 하는 생각이 드네요... ^^

 

바쁜 일정으로 상세하게 분석할 여유는 없었고.. 분석노트에 메모해 두었던 내용들을 살짝 정리해 보려 합니다.

스크립트 레벨로 취약점을 확인해 본 결과, 아래 빨간색부분이 실제로 취약점을 발생시키는 원인이 되더군요...

 

 

* 참고 : 정상적인 경우 사용 예제 :

img 
{
position:absolute;
clip:rect(0px,60px,200px,0px);
}

 

---------------------------------------------------------------------- 

<style>

   table

   {

    position:absolute;

   clip: rect(1px, 55px, 45px, 5px);  

   }

</style>

<table>

 

           또는

          

<table style=” position:absolute; clip: rect(1px, 55px, 45px, 5px);”>

 

---------------------------------------------------------------------- 

 

이전 취약점들에서 간혹 발견된 것과 같이 주위의 또 다른 태그들이 취약점 발생주소나 점프주소 등에 영향을 주지 않을까 하고 이런저런 테스트를 해 보았지만, 실제 전달되는 파라미터나 주변의 background 컬러 명시 부분등등.. Crash가 발생하는 지점에는 영향이 없고 여전히 동일한 위치헤 뻗더군요...~~~ --;;;

 

아무래도 이번 취약점은 점프하는 EIP 주소를 사용자 입력으로 컨트롤하지 못하는 것 같다는.....

그렇다면, 아마도 각 브라우저 버전 및 OS 버전 즉, mshtml.dll 버전별로 크래쉬 나는 지점도 달라지고 당연 점프하는 번지도 달라질 것이고 그렇다면 각 버전별 다른 공격코드를 가져야하는??? ......

이거 복불복???

 

Windows XP SP2 IE7(msthml.dll(7.0.5730.13))에서는 분석시 다음 위치에서 CALL의 흐름이 바뀌더군요...

 



실제로 수집된 샘플의 경우, 정상적인 쉘코드 실행되지 않았고, 다음과 같이 메모리를 채우는 Block의 카운트를 높여서 상위 메모리까지 쉘코드를 채웠고, Block의 사이즈를 넓혀서 NOP 메모리를 확장시킨 후에야 쉘코드가 뿅~~ 하고 뜨더군요... ^^*

또한, 지난 주 또 다른 공격 Exploit에서도 다음과 같이 브라우저의 각 버전별로 힙메모리의 크기를 변경시키는 형태를 볼 수 있었습니다.

 


[##_http://redhidden.tistory.com/script/powerEditor/pages/1C%7Ccfile10.uf@192022354D2DB28E0EE24E.png%7Cwidth=%22550%22%20height=%22493%22%20alt=%22%22%20filename=%2202.png%22%20filemime=%22image/jpeg%22%7C_##]


 

 

 

 

----------------

오늘은 여기까지 짧게 쓰고 갑니다.. ^^;;

좋은 한주 되세요~

----------------

댓글
  • 프로필사진 BlogIcon jual kue lebaran 난 아무도 볼 수 있고, 당신은 나의 배우자 인치 원하던 일이 그리고 난 달아 특정에 대한 understading와 함께 특정 주제에 사로잡혀 아르와 함께 다른 블로그 사이트를 통해 두이 정보를 왔어요. 한 머리는 우리가 페이스 북이나 마이 스페이스는 웹 사이트를 통해 특정 정보를 검토합니까? 2011.08.16 13:24 신고
  • 프로필사진 강한이 안녕하세요. 제가 이 취약점을 디핑하고 분석하고있는데요. 올리로 mshtml.dll을 잡아서 call 하고 함수테이블+offset값에서 에러가날때 그전에를 트레이스하면서 값을 보고싶은데, mshtml.dll을 올리에서 잡을수가 없어서 코드를 못따라가고있어요.

    위에서 지금 포스팅된거 보면 올리에서 올려주신거같은데(IDA였나요?) 만약 제가 어느부분에서 브레이크를 걸고 트레이스 할 수 있다면 어떻게 mshtml.dll을 잡아서 해야하는지좀 알려주세요. :)

    mscgo@hotmail.com 메일로좀 알려주시면 감사하겠어요!
    2011.10.19 17:49 신고
  • 프로필사진 BlogIcon mahasiswa terbaik 당신의 또 다른 유용한 인터넷 사이트를 주셔서 감사합니다. 어디든지 이외에 진짜 좋은 의미의 코드 정보를 일종의 것으로 구입할 수 있습니다? 나는 우리가 구현하는 순간, 나는 디자인을 빼내 정보의 이런 종류에 관한 얘기했습니다 걸 벤처 소유하고있다. 2011.10.23 04:34 신고
댓글쓰기 폼