CVE-2013-0634 (LadyBoyle) Samples

[Aels]

Семплы:
http://www.mediafire.com/?fywov0t0d4y72sg
Зеркало:
http://rghost.ru/private/43704243/985cb02d...f4c6a4b15b2acf2

Его разбор и анализ на английском:
http://malwaremustdie.blogspot.jp/2013/02/...yle-is-not.html

Теперь все ждем чего скажет -el =)

 

[el-]

Да что тут сказать, отличный эксп, только cve у него 0633 походу

Adobe is aware of reports that CVE-2013-0633 is being exploited in the wild in targeted attacks designed to trick the user into opening a Microsoft Word document delivered as an email attachment which contains malicious Flash (SWF) content. The exploit for CVE-2013-0633 targets the ActiveX version of Flash Player on Windows.

http://www.adobe.com/support/security/bull.../apsb13-04.html

https://twitter.com/VUPEN/status/299922036342550528
https://twitter.com/VUPEN/status/299924255137755138

все дело видимо в этом

            _loc_2 = "(?i)()()(?-i)||||||||||||||||||||||";
            var _loc_20:* = new RegExp(_loc_2, "");

только для того что бы из этого что то получить, строиться огромная структура из объектов, дабы повлиять на нее и в итоге получить возможность читать память.

в общем тут есть все и чтение памяти для обхода aslr разных версиях флеша, и bypass dep с rop шелкодом и даже поддержка х64, в общем крутота, но он очень сложен для понимания. так что буду ждать исследование от вупен. к тому же все эти плюсы перечеркиваются тем что уязвим только activex, с его тихим автоапом этот сплоит станет не юзабельным как раз к тому моменту как удастся в нем разобраться.

доп инфа:

видимо первоисточник
http://blog.fireeye.com/research/2013/02/l...ew-exploit.html

http://blogs.adobe.com/asset/2013/02/raisi...fice-files.html
http://www.f-secure.com/weblog/archives/00002498.html
http://eromang.zataz.com/2013/02/10/boeing...l-informations/

 

[Aels]

el-
Не только activeX. Если его не найдется - там отдельная ветка кода.

Так же, насколько я понял, там все заканчивается на дропе одной из двух dll - это лоадер.
Dll-ки не поксорены даже. Они заменяются флешь-декомпиллером на свои.

Иль я чего-то просмотрел?

 

[el-]

Aels, кстати да для х86 есть дефолтная ветка без проверки на activex, это для х64 нету

                    default:
                    {
                        while (1)
                        {
                            
                        }
                        break;
                    }

вообще оба декомпилера что я пробовал херово получают сорец, так что если есть вариант лучше скажи.

хз что ты имеешь ввиду, как именно они заменяются, но если посмотреть на начало шелкода

                _loc_17.writeUnsignedInt(_loc_12 + 136);
                _loc_17.writeUnsignedInt(_loc_12);
                _loc_17.writeUnsignedInt(8192);
                _loc_17.writeUnsignedInt(4096);
                _loc_17.writeUnsignedInt(64);

это 100% вызов VirtualAlloc, а за ним идет уже шелкод

                _loc_17.writeUnsignedInt(0xEC8390CC);
                _loc_17.writeUnsignedInt(0x64DB3370);
                _loc_17.writeUnsignedInt(0x8B185B8B);
                _loc_17.writeUnsignedInt(0x5B8B305B);
                _loc_17.writeUnsignedInt(0x1C5B8B0C);

если посмотреть на асм

00401119 >   CC             INT3
0040111A     90             NOP
0040111B     83EC 70        SUB ESP,70
0040111E     33DB           XOR EBX,EBX
00401120     64:8B5B 18     MOV EBX,DWORD PTR FS:[EBX+18]
00401124     8B5B 30        MOV EBX,DWORD PTR DS:[EBX+30]
00401127     8B5B 0C        MOV EBX,DWORD PTR DS:[EBX+C]
0040112A     8B5B 1C        MOV EBX,DWORD PTR DS:[EBX+1C]

видно стандарное начала поиска модулей, так что скорее всего этот шелкод, найдет в памяти те дллки и сделает с ними что надо, заинжектит или настоит или даже установит хз

 

[el-]

http://bbs.pediy.com/showthread.php?t=162493

 

[el-]

статья имеет косвенное отношение к сплоиту, но интересна вплане оценки реального положения дел на рынке уязвимостей и таргетинговых атак

http://www.securelist.com/en/blog/20819411..._Control_System

и как следствие всей этой шумихи с одеем будет новый патч от адоба

http://blogs.adobe.com/asset/2013/02/click...ce-is-here.html

 

[neko]

попдробнее https://sites.google.com/site/zerodayresear...h_vector_Li.pdf

 

[el-]

руки дошли, сейчас смотрю, он походу и в фф нормально работает, только там в фф в смысле, адобе обещала ( и уже сделала судя по все еще в 11.3, но на тестовом хп что то не особо видно, там наверное немного другой принцип ) сандбокс как у ридера, видимо по этому сплоит заточен только под активикс. ( хотят в последнем апе у них как раз есть боф в этом самом сандбоксе в мастер процессе )

все это я к тому что бы попробовать его потом внутри пдф ( потому как он явно по проще чем тот новый эксп для пдф ), НО где то я слышал ( теперь не могу найти где ) что адобе толи обещал толи уже сделал что бы флеш в ридере юзался из вне, т.е. на машине стоит отдельно флеш который сам обновляется и есть ридер который это флеш юзает для запуска флешек внутри пдфа ... как то так.

 

[el-]

ап: у фф на в7 есть сандбокс начиная с версии 11.3, на хр ничего подобного нету, этот сплоит отлично пашет на хп как в ишаке так и в фф

кстати, если кто то слышал об атаке на фф по средством флешь, о которой упоминают в этом апе https://www.adobe.com/support/security/bull.../apsb13-08.html , маякните, а то как то совсем уж она мимо прошла

 

[pwd]

i don't understand how to bind Binary file reading reading but nothing.
anyone have any idea how to add the binary for the 32 and 64 ?