Microsoft Graphics组件中的零天漏洞– CVE-2013-3906

10:00 et,2013年11月6日

微软零天CVE-2013-3906–Microsoft通知在Microsoft图形组件中了解漏洞,该组件在使用电子邮件发送的Created Word文档中积极地利用目标攻击。

已经找到了一个新的零点漏洞,可以允许攻击者通过受感染的Word文档安装恶意软件。微软零日,编码 CVE-2013-3906 被归类为远程代码执行漏洞,它是Microsoft图形组件中的缺陷,允许针对在Windows Vista和Windows Server 2008上运行的Microsoft Office用户。

“该漏洞是一种远程代码执行漏洞,这些漏洞存在于受影响的组件处理特制特制TIFF图像的方式中。攻击者可以通过说服用户预览或打开特制的电子邮件,打开特制文件,或浏览专门制作的Web内容来利用此漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。帐户被配置为在系统上具有更少用户权限的用户可能会影响与使用管理用户权限进行操作的用户影响。” reported the Microsoft安全咨询(2896666)

McAfee Labs高级安全研究员Haifei Li报告了Microsoft零天漏洞,Microsoft公司承认被告知有针对性的攻击主要是 中东 和南亚利用瑕疵。攻击方案非常简单,攻击者向受害者发送专门制作的Word文件,其中有受感染的附件,一旦打开它,他就可以完全控制受害者’s PC.

在基于Web的攻击场景中,攻击者可能托管专门制作的网站,该网站旨在利用这种缺陷(例如 水坑 攻击)然后说服用户访问网站 社会工程学 技巧。攻击者可以进行 矛网络钓鱼 攻击,在电子邮件消息中的链接或在将用户重定向到攻击者的即时消息消息中,它足够单击。’s website.

 小姐

 

目前,该公司才意识到主要在中东和南亚的目标攻击,攻击者向毫无戒心的受害者制作了污染的依恋。

“此附件将尝试通过使用文档本身嵌入的格式格式图形图像来利用该漏洞。” “攻击者可以通过说服用户预览或打开特制的电子邮件,打开特制文件,或浏览专门制作的Web内容来利用此漏洞。”

“为了实现代码执行,expoit将多种技术组合到绕过DEP和ASLR保护。具体地,利用代码使用ActiveX控件执行大的内存堆喷雾(而不是通常的脚本),并使用硬编码的ROP小工具来分配可执行页面。这也意味着利用在硬化机器上的漏洞将失败,以阻止嵌入办公文档中的ActiveX控件(例如,Office 2010使用的保护模式)或配备有不同版本的模块的计算机,用于构建静态ROP小工具。”

受影响的产品列表很长,为我们提供了一个关于Microsoft零天漏洞的广泛曝光的实体的想法:

  • Windows Vista x86,x64
  • Windows Server 2008 x86,x64,itanium,服务器核心
  • Microsoft Office 2003.
  • Microsoft Office 2007.
  • Microsoft Office 2010 x86,x64
  • Microsoft Office兼容性包
  • Microsoft Lync 2010 x86,x64
  • Microsoft Lync 2010参加者
  • Microsoft Lync 2013 x86,x64
  • Microsoft Lync Basic 2013 x86,x64

唯一受零日影响的产品似乎是Windows 7和8和Office 2013和Office 365。

微软已及时发布了临时‘ 修理它 ‘修补程序阻止修改以下注册表项的易受攻击的TIFF图形格式的渲染。请注意,解决方法不会解决漏洞的根本原因,但只需修改以下注册表项的值:

HKEY_LOCAL_MACHINESOFTWAREMYROSOFTGDIPLUSDISABLETIFFCODEC = 1

必须在这样的情况下完成两项考虑因素:

  • 为了减轻Microsoft零日的效果,它有必要提示系统,但在企业环境中 补丁管理过程  通常低效,并将公司暴露于严重的风险。
  • It’S正常的软件可能会受到缺陷的影响,但是为了减轻它们的效果,有必要改变思维,并开始采用多层安全方法,分析各种关键指标,可以在正在进行的漏洞中提醒受害者的各种关键指标 零天脆弱性 .

Microsoft在咨询中建议安装EMET(增强的缓解体验工具包)​​,当为Office二进制文件启用以下任何条款时,能够提前缓解此漏洞:

    1. eMET 4.0中可用的多个ROP缓解(stackpointer,caller,simperec,memprot);
    2. 其他缓解(mandatoryaslr,eaf,heaspropray)包含在EMET 3.0和4.0中;

无论如何,强烈建议在Office文档中使用受保护的视图和块ActiveX控件,以避免对其函数的必要级别的问题并限制用户权限,其帐户被配置为在系统上具有更少用户权限的用户可能会影响比用户更少受到影响谁与行政用户权限运行。

皮奈里格帕加尼尼

( 安全事务   - Microsoft,CVE-2013-3906,零天漏洞)

 RSA标志

 

 

 

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请