Tag Archives: microsoft

Vulnerabilidad Día Cero de Internet Explorer Puesta al Descubierto

      No Comments on Vulnerabilidad Día Cero de Internet Explorer Puesta al Descubierto

zero_day_IE_concept.png

Symantec está al tanto de los reportes de la vulnerabilidad de Día Cero, Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer, que afecta todas las versiones de Internet Explorer.

Microsoft dio a conocer un aviso de seguridad referente a una vulnerabilidad en Internet Explorer que está siendo empleada en limitados ataques dirigidos. Actualmente no existe un parche disponible para esta vulnerabilidad y Microsoft, hasta el momento que este texto fue escrito, no ha proporcionado una fecha de lanzamiento para uno.

Nuestras pruebas confirman que la vulnerabilidad afectó Internet Explorer en Windows XP. Ésta es la primera vulnerabilidad de Día Cero que no será arreglada para los usuarios de Windows XP, pues Microsoft concluyó el soporte para este sistema operativo el pasado 8 de abril de 2014. Sin embargo, Microsoft informó que su Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá mitigar esta vulnerabilidad de Internet Explorer y es compatible con Windows XP.

Symantec Security Response recomienda a los usuarios, adicionalmente al uso de EMET, cambiar temporalmente por un navegador diferente hasta que el parche se encuentre disponible por parte del proveedor. Symantec protege a sus clientes contra este ataque con las siguientes detecciones:

Mantendremos actualizado este blog con información adicional tan pronto esté disponible.

Actualización – 28 de abril de 2014

Con la finalidad de reducir la Vulnerabilidad de Ejecución de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), Symantec brinda las siguientes recomendaciones.

Microsoft declaró que las versiones del Kit de herramientas de Experiencia de mitigación mejorada (EMET, por sus siglas en inglés) 4.1 y superior podrá disminuir esta vulnerabilidad de Internet Explorer. El kit de herramientas también está disponible para los usuarios de Windows XP. Si el uso de EMET no es una alternativa, los usuarios pueden considerar reducir el problema anulando el registro a un archivo DLL llamado VGX.DLL. Este archivo provee soporte para VML (Vector Markup Language) en el navegador. Esto no es necesario para la mayoría de los usuarios. No obstante al anular el registro del library cualquier aplicación que utilice DLL no funcionará apropiadamente. Igualmente, algunas aplicaciones instaladas en el sistema potencialmente pueden regresar el registro al DLL. Con esto en mente, la siguiente línea de instrucciones puede ser ejecutada para volver inmune al sistema de ataques que intenten explotar la vulnerabilidad. Esta línea de instrucciones puede ser usada para todos los sistemas operativos afectados:

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

También hemos desarrollado un archivo de lote que puede ser usado para llevar a cabo la tarea de aquellos que requieran administrar infraestructuras de TI más grandes.

bat_icon.png

Nota: Los usuarios necesitarán renombrar el archivo usando una extensión .bat

El archivo de lotes tiene la habilidad de verificar el estado actual del archivo DLL y de remover el registro de DLL como se requiere. La secuencia de comandos descrita en el lote de archivos es muy simple y se puede utilizar como base para personalizar el código y  adaptarse a las necesidades de ciertos entornos de sistema.

Aunque no son necesarias herramientas especiales en particular para mitigar esta vulnerabilidad, por favor tome en cuenta que las recomendaciones, como las proporcionadas aquí, pueden que no sean útiles para futuras vulnerabilidades. Recomendamos que los sistemas operativos sin soporte, como Windows XP, sean reemplazados por versiones con soporte tan pronto sea posible.

??? ??? ???? ???? Internet Explorer ???

      No Comments on ??? ??? ???? ???? Internet Explorer ???

zero_day_IE_concept.png

시만텍은 모든 버전의 Internet Explorer에 영향을 미치는 제로데이 취약점인 Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)이 보고되고 있음을 확인했습니다.

Microsoft는 일부 표적 공격에 이용되고 있는 Internet Explorer의 취약점에 대한 보안 권고를 발표했습니다. 현재 이 취약점에 대한 패치는 없으며, 이 글의 작성 시점에는 Microsoft에서 패치 발표일을 밝히지 않은 상태입니다.

시만텍의 테스트에 따르면, 이 취약점은 Windows XP의 Internet Explorer에서 문제를 일으킵니다. Microsoft에서 2014년 4월 8일 자로 이 운영 체제에 대한 지원을 종료한 가운데 이번 취약점은 Windows XP 사용자에게 패치가 제공되지 않은 최초의 제로데이 취약점입니다. Microsoft는 자사의 EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상으로 이 Internet Explorer 취약점을 완화할 수 있으며 해당 툴킷이 Windows XP에서 지원된다고 밝힌 바 있습니다. 시만텍 보안 연구소는 사용자에게 EMET를 사용하면서 벤더가 패치를 제공할 때까지 임시로 다른 웹 브라우저를 사용할 것을 권장합니다.

시만텍은 아래와 같은 탐지 활동을 통해 이 공격으로부터 고객을 보호합니다.

추가 정보가 입수되는 대로 이 블로그를 통해 게시하겠습니다.

업데이트 – 2014년 4월 28일:

Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)을 완화하기 위한 시만텍 권장 사항은 아래와 같습니다.

Microsoft에 따르면, EMET(Enhanced Mitigation Experience Toolkit) 4.1 이상 버전을 사용하여 이 Internet Explorer의 취약점을 완화할 수 있습니다. 이 툴킷은 Windows XP 사용자도 이용 가능합니다. EMET를 사용하기 어려운 경우 VGX.DLL이라는 DLL 파일을 등록 취소하는 방법으로 이 문제를 완화할 수 있습니다. 이 파일은 해당 브라우저에서 VML(Vector Markup Language)을 지원합니다. 대부분의 사용자는 이 방법을 사용할 필요가 없습니다. 하지만 라이브러리의 등록을 취소할 경우 이 DLL을 사용하는 애플리케이션이 더 이상 정상적으로 작동하지 않을 수 있습니다. 또한 시스템에 설치된 일부 애플리케이션에서 이 DLL을 다시 등록할 가능성도 있습니다. 이러한 사항을 고려하여 이 취약점을 노리는 공격으로부터 시스템을 보호하기 위해 아래의 한 줄짜리 명령어를 실행할 수 있습니다. 이 명령어는 해당 취약점의 영향을 받는 모든 운영 체제에서 사용할 수 있습니다.

“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

시만텍은 대규모 IT 인프라스트럭처를 관리해야 하는 고객을 위해 배치 파일을 개발했습니다.

bat_icon.png

참고: 사용자는 .bat 확장자를 사용하여 파일 이름을 변경해야 합니다.

이 배치 파일은 DLL 파일의 현재 상태를 확인하고 필요한 경우 DLL을 등록 취소하는 기능을 수행합니다. 배치 파일의 스크립트는 매우 간단하며 이를 바탕으로 특정 시스템 환경의 요구 사항에 맞게 코드를 커스터마이즈할 수 있습니다.

이 취약점을 완화하는 데 특별한 툴이 필요한 것은 아니지만, 향후 발견될 취약점에 대해서는 여기서 소개한 것과 같은 권장 사항의 적용이 불가능할 수 있습니다. 따라서 Windows XP와 같이 지원되지 않는 운영 체제는 가급적 빨리 지원되는 버전으로 대체하는 것이 좋습니다.

 

Update – May 02, 2014:
Microsoft has released an out-of-band security update to address this vulnerability. For more information, see the following Microsoft security advisory:

Out-of-Band Release to Address Microsoft Security Advisory 2963983

Windows XP users sticking to the OS despite support cutoff

      No Comments on Windows XP users sticking to the OS despite support cutoff

The majority of AVAST customers running Windows XP said they will rely on AVAST to protect them.   Last month Ondrej Vlcek, Chief Operating Officer of AVAST, shared his opinion on the end of Windows XP support by Microsoft, revealing that 23.6% of AVAST’s over 200 million users were still using Windows XP. Since then […]

Microsoft Word ????????????????

      No Comments on Microsoft Word ????????????????

Microsoft 社は 3 月 25 日、Microsoft Word に影響するパッチ未公開の脆弱性が新たに見つかったというセキュリティアドバイザリを公開しました。攻撃者は、Microsoft Word に存在するメモリ破損の脆弱性(CVE-2014-1761)を悪用して、標的となるコンピュータにリモートでアクセスできるようになります。アドバイザリでは、この脆弱性は限定的な標的型攻撃で悪用されていたと報告されています。

不明な RTF 文書を開かないように注意するだけでなく、このようなファイルを Outlook でプレビューすることも避けてください。攻撃者にこの脆弱性を悪用される恐れがあります。Outlook の一部のバージョンでは、電子メールに添付されている RTF 文書のデフォルトビューアが Microsoft Word に設定されていることに注意してください。

まだパッチは公開されていませんが、悪用のリスクを最小限に抑えるためにいくつかの回避策があります。Microsoft 社は、Microsoft Word で RTF コンテンツを開けないようにする Fix it 修正ソリューションを提供しています。また、Outlook で電子メール表示をプレーンテキストに限定するように設定して、この問題の影響を軽減することもできます。

Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)を使えばこの悪用を適切に遮断できるとしていますが、これは他の回避策を適用できない場合の代替策と考えてください。

Microsoft 社からパッチが公開されたら、できるだけ速やかに適用することをお勧めします。

シマンテックセキュリティレスポンスは、CVE-2014-1761 の悪用からお客様を保護するために、以下の検出定義を提供しています。

ウイルス対策

侵入防止システム

シマンテックは現在、追加の確認に取り組んでおり、詳しいことがわかり次第このブログでお伝えする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Zero-Day Vulnerability Discovered in Microsoft Word

      No Comments on Zero-Day Vulnerability Discovered in Microsoft Word

Microsoft posted a security advisory today for a newly discovered, unpatched vulnerability affecting Microsoft Word. An attacker could take advantage of the Microsoft Word Remote Memory Corruption Vulnerability (CVE-2014-1761) to gain remote access to …

????????????????????? IE ?????????????

      No Comments on ????????????????????? IE ?????????????
Microsoft 社は、今週火曜日の月例パッチにおいて、非常に緊急性の高かった、Internet Explorer 9 と 10 に影響するゼロデイ脆弱性に対処するセキュリティ更新プログラムを公開しました。「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)は、当初は標的型攻撃に悪用されていましたが、その後サイバー犯罪者の間で広く利用されるようになった結果、今では一般のインターネットユーザーにも影響しています。
 
今月の月例パッチでは、すでに悪用が確認されている「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2014-0324)についても対処されました。シマンテックの調査によると、CVE-2014-0324 を悪用する対象は Internet Explorer 8 です。シマンテックがこの悪用を確認したのは 2 月中旬のことで、限定的な標的型攻撃を実行する水飲み場型攻撃に使われたものと思われます。
 
悪用コードは、脆弱性を利用するために特別に細工された Web ページに実装されていました。悪用に成功すると、侵入先の Web サイトの特定の URL からペイロードがダウンロードされます。ただし、解析の時点ではダウンロードファイルを入手できていなかったため、このペイロードの詳細はまだ判明していません。シマンテックのテスト環境では、この悪用コードによってデータ実行防止(DEP)が作動します。DEP とは、実行を許可されていないメモリページからコードが実行されるのを防止しようとするセキュリティ機能です。つまり、DEP が有効であれば、この悪用コードによって脆弱性が利用されることはありません。
 
今回確認された悪用コードは、微妙に相違点はあるものの、昨年の秋に「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を狙った悪用コードと類似しています。
 
シマンテック製品をお使いのお客様は、この脆弱性を悪用する攻撃から保護されています。シマンテック製品は、以下のシグネチャでこの悪用コードを遮断します。
 
ウイルス対策
 
侵入防止シグネチャ
 
シマンテックは、CVE-2014-0324 の悪用に備えて引き続き監視を続けていますが、同じ月に攻撃が疑われたのは 1 件だけでした。ある特定の組織または個人を標的として悪用されただけだと思われます。この悪用の影響を受ける恐れがある場合には、速やかにパッチを適用してください。また、セキュリティ製品を常に最新の状態に保つこともお勧めします。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

AVAST will continue to support Windows XP for home and business users

      No Comments on AVAST will continue to support Windows XP for home and business users

In “internet years” Microsoft’s Windows XP has been around for eons. It was released in August 2001, and in less than one month, on April 8, 2014, Microsoft will cease to provide support and security updates. The security updates patch vulnerabilities that could be exploited by malware and help to keep users and their data […]

Attackers Targeting the Other IE Zero-day Vulnerability Covered on Microsoft Patch Tuesday

      No Comments on Attackers Targeting the Other IE Zero-day Vulnerability Covered on Microsoft Patch Tuesday
On Tuesday, Microsoft released its security updates for Microsoft Patch Tuesday, which included the much needed update to address a zero-day vulnerability affecting Internet Explorer 9 and 10. The exploit for the Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322) was originally used in targeted attacks, but it caught on among average cybercriminals. As a result, the exploit currently affects Internet users in general.
 
In this month’s Patch Tuesday, Microsoft covered another Internet Explorer zero-day vulnerability, which is being exploited in the wild. This flaw is known as the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324). According to our investigation, the exploit for CVE-2014-0324 takes advantage of Internet Explorer 8. Symantec confirmed the exploit in the middle of February, which we believe was used in a watering hole campaign in order to carry out limited targeted attacks.
 
The exploit code was implemented in a specially crafted Web page that takes advantage of the vulnerability. If the vulnerability is exploited, a payload is then downloaded from a specific URL on a compromised website. We were, however, unable to acquire the downloaded file at the time of analysis, so we cannot elaborate on the details of the payload. In our testing environment, the exploit triggers Data Execution Prevention (DEP), which is a security feature that attempts to prevent the execution of code from Web pages of memory that are not allowed to run. This means that if DEP is enabled, it will stop the exploit from taking advantage of the flaw. 
 
The confirmed exploit appears to be similar to the exploit used against the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2013-3897) in attacks last fall, though there are some minor differences between the two.
 
Symantec customers are protected against attacks exploiting this vulnerability. Our products block the exploit with the following signatures.
 
AV
 
IPS
 
Symantec has continued to monitor the threat landscape for further exploits of CVE-2014-0324, but we have only spotted one other possible attack in the same month. We believe that the exploit is only being used to target specific organizations or individuals. For those who may be affected by the exploit, we urge you to apply the patch immediately. We also encourage everyone to always keep their security products up to date.

New Zero-day Vulnerability Used in Operation Hangover Attacks

      No Comments on New Zero-day Vulnerability Used in Operation Hangover Attacks
On November 5, Microsoft issued an advisory and a blog post to report a new zero-day vulnerability in the Microsoft Graphics component that affects Windows, Microsoft Office and Microsoft Lync: the Multiple Microsoft Products Remote Code Execution Vulnerability (CVE-2013-3906). The advisory states that the vulnerability exists in the way that certain components handle specially crafted TIFF images, potentially allowing an attacker to remotely execute code on the affected computer. 
 
While Microsoft has yet to release a patch for this vulnerability, it has provided a temporary “Fix It” tool as a workaround until a security update is made available. To ensure that Symantec customers are protected from attacks using this zero-day vulnerability, the following protection is being released:
 
Antivirus
  • Trojan.Hantiff
  • Bloodhound.Exploit.525
 
Intrusion Prevention System
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
The Microsoft blog post states that this vulnerability is being actively exploited in targeted attacks using crafted Word documents sent in emails. Symantec’s research into the exploitation of this zero-day flaw in the wild has shown that our Symantec.Cloud service preemptively blocks emails sent as part of this attack. Here are some examples of the email subject headings and the attached files’ names seen in the attack:
 
File name: Details_Letter of Credit.doc
Email subject: Illegal Authorization for Funds Transfer
 
File name: Missing MT103 Confirmation.docx
Email subject: Problem with Credit September 26th 2013
 
File name: Illegality_Supply details.docx
Email subject: Illegal Authorization for Funds Transfer
 
After analyzing the payloads being used in this attack, we have identified that the targeted emails are part of an attack campaign known as Operation Hangover, which we covered back in May 2013 in the blog post: Operation Hangover: Q&A on Attacks. At that time, the group behind these attacks was known to have used multiple vulnerabilities, but was not known to have used any zero-day flaws in the attacks. As predicted in our previous blog post, the exposure of Operation Hangover would not adversely affect the activities of the group orchestrating the campaign, which can be clearly seen now with these latest activities involving the zero-day vulnerability. 
 
Symantec has protection in place for the threats used in this latest wave of the Operation Hangover campaign as Trojan.Mdropper, Downloader and Infostealer. To allow customers to identify this attack, we are mapping the latest components of the Operation Hangover campaign to Trojan.Smackdown.B and Trojan.Hangove.B. 
 
Symantec will continue to investigate this attack to ensure that the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

First upgrade to avast! 2014, then to Windows 8.1

      No Comments on First upgrade to avast! 2014, then to Windows 8.1

Are you ready to make the move to Windows 8.1? Reviews says that with Windows 8.1, Microsoft made some significant improvements, including restoring the much-missed start button. Make sure that your upgrade experience goes smoothly by installing avast! 2014 first. Avast! 2014 has Windows 8.1 certification which ensures that it meets compatibility standards and performs […]