XMCO : Un exploit "0-day" publié sur Internet pour la vulnérabilité non-corrigée affectant le moteur XML
décembre 2008 par XMCO PARTNERS
MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day
– Date : 11 Decembre 2008
– Plateforme : Windows
– Programme : Internet Explorer
– Gravité : Urgente
– Exploitation : Avec une page web malicieuse
– Description :
Deux exploits ont été publiés sur des sites spécialisés (pour Windows XP SP3 et Vista). Ces derniers se matérialisent sous la forme de page HTML et exploitent une vulnérabilité non-corrigée affectant la librairie MSHTML.DLL lors du traitement de certains tags XML (balise SPAN).
La visualisation d’une page HTML malicieuse provoque un "heap spray" (débordement de pile).
Les deux preuves de concept fonctionnent sous Internet Explorer 7 (version anglaise). Il est probable que des codes d’exploitation français soient prochainement publiés.
Note : Des chinois ont déjà développé un exploit permettant de provoquer le téléchargement d’un virus lors de la visite de la page web.
Une fois le malware téléchargé, ce dernier va tenter de télécharger d’autres virus à partir des adresses suivantes :
http://XXXXXXXX.cn/youxi/0.exe
http://XXXXXXXX.cn/youxi/1.exe
http://XXXXXXXX.cn/youxi/2.exe
http://XXXXXXXX.cn/youxi/3.exe
http://XXXXXXXX.cn/youxi/4.exe
http://XXXXXXXX.cn/youxi/5.exe
http://XXXXXXXX.cn/youxi/6.exe
http://XXXXXXXX.cn/youxi/7.exe
http://XXXXXXXX.cn/youxi/8.exe
http://XXXXXXXX.cn/youxi/9.exe
http://XXXXXXXX.cn/youxi/10.exe
http://XXXXXXXX.cn/youxi/11.exe
http://XXXXXXXX.cn/youxi/12.exe
http://XXXXXXXX.cn/youxi/13.exe
http://XXXXXXXX.cn/youxi/14.exe
http://XXXXXXXX.cn/youxi/15.exe
http://XXXXXXXX.cn/youxi/16.exe
http://XXXXXXXX.cn/youxi/17.exe
http://XXXXXXXX.cn/youxi/18.exe
http://XXXXXXXX.cn/youxi/19.exe
http://XXXXXXXX.cn/youxi/20.exe
http://XXXXXXXX.cn/youxi/21.exe
http://XXXXXXXX.cn/youxi/22.exe
http://XXXXXXXX.cn/youxi/23.exe
http://XXXXXXXX.cn/youxi/24.exe
http://XXXXXXXX.cn/youxi/25.exe
http://XXXXXXXX.cn/youxi/26.exe
Une liste de sites exploitant actuellement cette vulnérabilité sont décris dans le lien situé en référence [3]
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
* Internet Explorer 7
– Référence :
[1] Version anglaise de Windows XP SP3 : http://www.milw0rm.com/exploits/7403
[2] Version anglaise de Vista : http://www.milw0rm.com/exploits/7410
[3] http ://www.shadowserver.org/wiki/pmwiki.php ?n=Calendar.20081210
– Correction :
Aucun correctif n’est actuellement disponible.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1228993010