Tuesday, March 2, 2010

F1 Tuşuna basmayın!!!





















iSEC Security Research tarafından, XP sistemleri etkileyen 0 günü açığı ve exploiti yayınlandı.

Aslında rapora bakılırsa iSEC bunu 2007'de Microsoft'a rapor etmiş, tahmin ediyoruz uyumluluk sorunları yüzünden yama kapatılamamış ve yakin zamanda kapatılacak gibi durmuyor.

Çünkü exploit edilebilmesi için ilgili sayfada F1 tuşuna basmanız gerekiyor, buda exploit edilmesini zorlaştırıyor. Tabi iyi düşünülmüş sosyal mesajlar ile bu tuşa basılması tetiklenebilir (Orn: Videoyu izlemek için F1 tuşuna basınız!).

Açığı tetikleyen JavaScript kütüphanesindeki MsgBox fonksyonu, bu fonksyonun syntax'ına bakalım:
MsgBox (Message, Style, Title, HelpFile)
Fonksyon çalışıtığında F1 (HELP) tuşuna başılınca, HelpFile da belirtilen dosya, ilk önce local file sistemde, yoksa yerel ağda aranıyor ve çalıştırılıyor.

Bunu internet üzerinde exploit edebilmek için , yazar, Samba serverda public share açmış ve yolu şu şekilde yazmıs:
"\\184.73.14.110\PUBLIC\test.hlp"

test.hlp dosyası da görüntülendiğinde hesap makinasını çalıştırıyor. Tabi hesap makinası yerine zararlı bir exe de olabilirdi. (Hatırlatma: .hlp dosyaları çalıştırılabilir risk sınıfı uzantılara giriyor)

Tüm yamaları yapılmış XP SP3 ve IE8 ile exploitin çalıştığını teyid ettik. (Test etmek için tıklayın)
Peki Vista ve Windows7 neden etkilenmedi onlardada IE8 var?
Çünkü Microsoft , Vista ve ilerki sürümlerde, risk taşıdığı için .hlp formatını ve winhlp32.exe componentini devre dışı bıraktı.
Bu ataktan korunmak için, bu yazıyı okumuş olmanız yeterli sanırsam (Yama gelene kadar Webde gezinirken F1 tuşuna basmayın!!! )


No comments:

Post a Comment