Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



ActionScript facilite le Heap Spraying pour l'exploitation des vulnérabilités Microsoft Office

Par Rédaction, secuobs.com
Le 04/11/2009


Résumé : ActionScript facilite l'exploitation des vulnérabilités de Microsoft Office par la technique du Heap Spraying lorsqu'un composant Adobe Flash malicieux est intégré au sein d'un document bureautique spécialement forgé.



Le Heap Spraying ( lien ) est une technique permettant de fiabiliser les codes d'exploitation spécifiques aux vulnérabilités impliquant une corruption de la mémoire. Elle est notamment utilisée afin d'exploiter les failles des navigateurs Web et plus particulièrement celles de Microsoft Internet Explorer, sauf pour la version 8 de ce dernier et ses protections adéquates ( lien ).

MS Office est aussi une cible privilégiée par les chercheurs, notamment les formats des fichiers bureautiques. Néanmoins, les exploits semblent moins standardisés et plus complexes à développer. Le flux d'exécution doit en effet être redirigé vers une adresse mémoire précise, contrairement aux sauts aléatoires qu'autorise le Heap Spraying vers les charges utiles des exploits MSIE.

Par ailleurs, FireEye Malware Intelligence Lab ( lien ) attirait récemment l'attention sur un code d'exploitation utilisant ActionScript ( PoC - lien & lien ) et autorisant le Heap Spraying au sein d'Adobe Flash ( lien ). Aujourd'hui, il s'avère ( lien ) qu'en intégrant un composant Flash malicieux au sein d'un document bureautique, il est également possible d'utiliser cette technique afin d'exploiter les vulnérabilités MS Office.

Une exploitation, déclenchée à l'aide d'un document XLS spécialement forgé, a ainsi permis à Fortinet ( lien ) d'observer des résultats positifs sur un système Microsoft Windows XP SP3 avec Excel 2003 et Flash Player 10.0.32.18. A noter que le paramètre de sécurité Excel pour l'exécution des Macros était sur « very high » et qu'aucun avertissement n'a été remonté afin d'avertir la « victime » des risques encourus.

En vérifiant ensuite l'état de la mémoire, avec Ollydbg ( lien ), les chercheurs ont pu effectivement constater l'allocation de leurs codes malicieux au sein du tas ( lien ). Cette technique rejoint donc l'arsenal des attaquants afin de faciliter les tâches d'exploitation MS Office. Un second test a par ailleurs été effectué sur un système Microsoft Windows Vista et l'application Excel 2007, mêmes causes mêmes conséquences.

Conformément à sa politique de divulgation responsable, Fortinet a tenu à préciser que Microsoft avait été prévenu préalablement à la publication de ces informations. Il semblerait qu'aucun correctif ne soit prévu, un choix étonnant au regard des récents outils Microsoft Nozzle ( lien ) et EMET ( lien ) qui visent justement à aider les applications tierces à lutter contre cette technique du Heap Spraying.

Le billet sur le blog de Fortinet ( lien )

Source : Compte Twitter @xanda et @_mdl_ ( lien )