Znana luka - nowy sposób ataku

Specjaliści z firmy antywirusowej Trend Micro natrafili na nowy rodzaj ataku drive-by-download wykorzystującego znaną lukę w niedawno zaktualizowanym programie Windows Media Player.

W wydanym 10 stycznia biuletynie Microsoft zaktualizował program Windows Media Player, usuwając lukę, która umożliwiła naruszenie bezpieczeństwa przy pomocy specjalnie przygotowanego pliku MIDI. Osoba atakująca, której uda się wykorzystać lukę, może uzyskać takie same prawa użytkownika jak użytkownik lokalny, w którego kontekście plik byłby uruchomiony. Mechanizm ataku wydaje się dość skomplikowany, ale według specjalistów firmy Trend Micro istnieje o wiele łatwiejsza metoda, która przyniesie skutek, jeśli ofiara nie posiada zaktualizowanego systemu operacyjnego.
Roland Dela Paz, inżynier Trend Micro informuje na blogu o tym, że wykryto złośliwego oprogramowanie, które wykorzystuje ostatnio ujawnioną publicznie lukę MIDI Remote Code Execution Vulnerability (CVE-2012-0003). Do infekcji wystarczy zupełnie nieświadomie uruchomić szkodliwy kod HTML, który automatycznie załaduje osadzony w nim plik MIDI zawierający eksploita. Udane wykorzystanie tkwiącej tu luki pozwala na szereg procesów, które ostatecznie prowadzą do ściągnięcia i zainstalowania na komputerze ofiary trojana o nazwie TROJ_DLOAD.QYUA. Dalsze analizy wykazały, że program ten pobiera kolejne dwa szkodliwe komponenty - rootkit o nazwie RTKT_MDIEXP.QYUA oraz szkodnika, którego celem jest najprawdopodobniej kradzież loginów i haseł posiadanych przez użytkownika gier sieciowych.

Co ciekawe, eksperci nadal nie są pewni, w jaki sposób ofiary takiego ataku trafiają na szkodliwe strony WWW, ani też kto tak naprawdę jest prawdziwym celem takich działań. Zdaniem specjalistów z firmy Trend Micro na tę chwilę nie ma sygnałów wskazujących na gwałtowne rozprzestrzenianie się ataków wykorzystujących wspomnianą wyżej lukę, ale nie można wykluczyć rozwoju zagrożenia, gdyż informacja o podatności jest powszechnie znana. Problem dotyczy systemów Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008 (Windows 7 i Windows Server 2008 R2 nie są podatne na taki atak).