À alguns dias foram divulgados diversos exploits para o Internet Explorer. Certamente estes exploits ja estavam circulando pela internet a muito tempo porém, só agora oficialmente.  A falha é muito grave e atinge tanto Windows XP quanto Vista. A falha não foi corrigida pela Microsoft, fiz varios testes aqui em VMs com Vista e XP fully Upgraded e o exploit continuou a ter efeito.

A falha consiste em um Buffer Overflow no tratamento de XML pelo browser onde podemos injetar qualquer código arbitrário. O exploit lançado como PoC pelo pessoal no Milw0rm e no site do Mut’s abre o calc.exe porém o shellcode pode facilmente ser modificado utilizando a vasta linha de Payloads oferecidos pelo MetaSploit Framework.

O exploit pode ser baixado em http://milw0rm.com/exploits/7403

No blog do Mut’s você pode baixar um package com o shellcode especialmente para o Vista

http://www.offensive-security.com/0day/iesploit-vista.rar

Abaixo seguem imagens mostrando a exploração bem sucedida de um Internet Explorer no Windows Vista.

Recomendo a todos que tenham muito cuidado ao utilizar o Internet Explorer porque sites com o exploit podem ser facilmente alocados em um HTML e a execução acaba sendo transparente para o usuários pois … basicamente não necessita de nenhuma interação para que seja bem sucedida. Estão ocorrendo diversos incidentes de segurança especialmente em sites de conteúdo pornografico.

Então … vamos usar Firefox + Sandboxie

Abraços a todos.

    Asta este pretenţia lor, cel puţin. Şi se mai laudă că ar fi băieţi ascultători, deşi eu le-am zis de mult să ofere Firefox în serviciul de actualizări automate..
    Cât de bine ne-au ascultat ne spune BBC ieri.
    Safer and more secure than ever, dar 10k de site-uri infectate.. hmm, pretty good safety, isn’t it?

PS: îmi place poziţia oficială:
“I cannot recommend people switch due to this one flaw,” said John Curran, head of Microsoft UK’s Windows group.

Update: Se pare că băieţii au luat-o în serios şi au dat drumul unui update.

Some of my old posts here at WordPress started showing ads, which was odd since I didn’t put any ads up. At first I thought JoeDuck.com had been hacked, but it now appears this is a form of Internet Explorer browser malware that is injecting advertising into the code as you surf. I prefer Firefox to Explorer but the laptop is not working well with Firefox – I think a almost-full-disk memory issue but I don’t want to mess with it now.

SEO Roundtable has a discussion of another WP blog with this problem and the adsense publisher code is the same as in my problem. That’s an old discussion so this probably infects a lot of IE browsers out there by now.

I’m wondering if I should be annoyed with Google for not having a system in place to alert people when they are getting adsense hijacked? Google must know about this WP exploit, and since the code would alert them why can’t they have an automated routine to warn me? Perhaps they can’t ID my compromised machine via an email address? They almost certainly deleted this publisher by now … right? Better email Mr. Adsense himself, Shuman.