Опубликован код эксплоита для незакрытой уязвимости в IE 6 и 7

Используя сведения, обнародованные компанией McAfee в корпоративном блоге, израильский хакер сумел выявить уязвимость в браузере Internet Explorer версий 6 и 7 и создать рабочий код эксплоита. Он позволяет злоумышленнику выполнять теневые загрузки и предоставляет удаленный доступ к компьютеру жертвы.

Разработка Моше Бена Абу (Moshe Ben Abu), известного также под именем Trancer00t, была опубликована менее чем через 24 часа после того, как представители Microsoft признали факт наличия уязвимости. Поскольку специалисты компании уже зафиксировали направленные атаки с ее использованием, это послужило дополнительным стимулом для срочного создания патча, который должен выйти досрочно в скором времени.

Пост в блоге McAfee, в котором исследователь почерпнул информацию для обнаружения вредоносных сайтов, оснащенных инструментами для использования уязвимости, описывал механизм проведения целевых атак. В частности, в нем говорится о домене topix21century.com как об источнике атак, проводимых через протоколы http и https.

Перенаправив пользователя на вредоносный сад, злоумышленник может, используя уязвимость в браузере, незаметно загрузить на его компьютер и запустить файл под названием notes.exe или svohost.exe, являющийся по классификации McAfee бэкдором BackDoor-EMN. Используемый при этом метод теневой загрузки подразумевает, что жертве достаточно посетить сайт, где содержится вредоносный код, и его компьютер будет открыт для атаки. Программа notes.exe создает собственные копии в каталоге временных файлов и оставляет dll-файл, который загружается одновременно с запуском Internet Explorer и предоставляет злоумышленнику удаленный доступ к взломанной системе.

Атакующий получает возможность загружать на удаленный компьютер файлы, скачивать хранящиеся на нем данные, выполнять программы и завершать запущенные процессы. При этом инфицированная система может связываться с доменом notes.topix21century.com посредством https.

"За считанные минуты пребывания на этом хосте мне удалось найти эксплоит," – заявил Бен Абу, добавив, что еще через 10 минут после начала исследования эксплоита он выявил используемую им уязвимость, которая была обнаружена в библиотеке iepeers.dll.

Участник открытого проекта Metasploit HD Moor подтвердил надежность кода эксплоита: "Он работает в половине случаев в системе XP SP2/SP3 с установленным IE7 и отключенной функцией DEP. Использование IE6 дает еще несколько более стабильный результат".

Специалисты Microsoft уже начали работу над созданием патча и выпустили предварительные инструкции для снижения риска заражения. Поскольку публикация рабочего кода эксплоита увеличивает вероятность волны атак на все еще самый популярный интернет-браузер, исправление для Internet Explorer должно появиться раньше следующих плановых обновлений.