PDF.js-эксплоит на firefox

Firefox exploit found in the wild

The exploit leaves no trace it has been run on the local machine. If you use Firefox on Windows or Linux it would be prudent to change any passwords and keys found in the above-mentioned files if you use the associated programs.

[modreator]
Комментарии по теме перенесены сюда из топика «Юмор».
[/moderator]

На страницу: 1, 2 След.

Комментарии

—	Гость_ (10/08/2015 08:13) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

На вирустотал зафиксирована возможно первая дата обнаружения и идентификации pdf эксплоита.

SHA256: 3e128b60171166c56e4f225a051b4e63ad1e0540b77e31638d975a72e8439365
File name: counter.php
Detection ratio: 1 / 55
Analysis date: 2015-08-02 20:08:23 UTC

MD5 57629def80377405b72c9ec5a5d00d6d
SHA1 2b1a220d523e46335823e7274093b5d44f262049
SHA256 3e128b60171166c56e4f225a051b4e63ad1e0540b77e31638d975a72e8439365
ssdeep
384:0rxjgJT17k0byMYhqJLTgv2zEuF09qSN4r3ICjPag1gV:KgXbsLng1gV

File size 13.9 KB ( 14267 bytes )
File type Text
Magic literal
ASCII text, with very long lines

—	Гость_ (10/08/2015 08:36) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

И момент когда кто-то уже всё понял (и даже голосует там за признание кода зловредным), но антивирусам всё равно.

File name: counter.php
Detection ratio: 0 / 55
Analysis date: 2015-07-29 06:24:30 UTC

—	Гость_ (10/08/2015 11:30) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

Найдено упоминание адреса сервера раздающего эксплоит, от 29 июля.

Whenever I load this page, there is an automatic download of a 0kb file. It seems to come from /ads.php on the server

It happens in different threads. It could well be that the forum is infected. Im not sure what is going on. The IP.B software version is outdated, so maybe its vulnerable?

We've found and empty file and deleted it. Did not found any malicious code on the forum. Looks like it was a hack attempt.

—	Гость_ (10/08/2015 17:38) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

Тред в топик.
Обнаруживший эксплоит делится наблюдениями (29.07.2015, 00:52 GMT+3):

Судя по коду, который внедряется в страницу, идет попытка доступа к системным разделам как windows, так и *nix систем.

И ответы ему:

Нет там ничего. Это лично у вас какой-то вирус сидит и что-то подгружает.

Проверено — у меня тоже ничего не наблюдается.
При том, что вообще на машине антивирусов нет, ибо OS X.
Malcolm, проверяйте компьютер.

Это у вас роутер скорей всего заразили, к файлам доступ получить нельзя через браузер, можно только их наличие проверить через некоторые техники.

Расширения браузера проверьте. Была подобная ерунда. Открываешь привычный сайт, и прямо по середине тизер с голыми бабами.

Да, у меня такое было – в браузере плагин кривой был.

—	Гость_ (11/08/2015 20:38) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

~~Первый шок прошел~~Антивирусные аналитики выходят на связь с деталями по атаке.

A partial list of compromised servers:

hxxp://www.akipress.org/

hxxp://www.tazabek.kg/

hxxp://www.super.kg/

hxxp://www.rusmmg.ru/

hxxp://forum.cs-cart.com/

hxxp://www.searchengines.ru/

hxxp://forum.nag.ru/

Servers used in attack:

maxcdnn[.]com (93.115.38.136)

acintcdn[.]net (185.86.77.48)

google-user-cache[.]com (108.61.205.41)

Hashes (MD5):

0A19CC67A471A352D76ACDA6327BC179547A7A25

2B1A220D523E46335823E7274093B5D44F262049

19BA06ADF175E2798F17A57FD38A855C83AAE03B

3EC8733AB8EAAEBD01E5379936F7181BCE4886B3

Mike Perry из Torproject со ссылкой на Mozilla сообщает, что TBB-4.5 c ESR-31 не был уязвим.

FYI: The PDF.js exploit in the wild does not affect TBB 4.5 users. It exploited a specific property of Firefox 38 that did not apply to Firefox 31

https://bugzilla.mozilla.org/s.....g.cgi?id=1179262#c33 is the
statement from Mozilla for FF31 not being vulnerable. They have made a similar statement on the ESR mailinglist (but that does not have open archives)

Разработчики Firefox заявляли, что эксплоит не оставляет следа, но возможно ссылка на код или он целиком остались в кеше браузера. Следы есть, ~~они не могут не есть~~[/петросян]

—	pgprubot (12/08/2015 20:54) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

Summary по проблеме в Tor-блоге:

This release features important security updates to Firefox. In particular, while the recent PDF.js exploit did not affect 4.5 users, it does affect users of 5.0a3 and 5.0a4. Although the High security level of the Security Slider also prevented the exploit from working against even those users, all alpha users are still strongly encouraged to upgrade as soon as possible.

This release features important security updates to Firefox. Note that the recent PDF.js exploit did not affect 4.5 users, but they should upgrade to this release immediately because numerous other potential security issues were fixed by Mozilla in this release. (Incidentally: Users who are using the 5.0-alpha series are vulnerable to the PDF.js exploit, but not if they were using the 'High' security level. Regardless, we are also upgrading 5.0-alpha users to 5.5a1 today to fix the issue as well).

Решили обновить и стабильную ветку и α'у.

—	Гость_ (14/08/2015 09:12) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Антивирусные аналитики выходят на связь с деталями по атаке

Детали по русски.

Тема практически полностью раскрыта. Остаётся только вопрос:

> Название сайта-то известно? Что это было?

Был ли сайт назван в отчёте...

—	Гость_ (14/08/2015 09:34) профиль/связь <#> комментариев: 450 документов: 10 редакций: 13

> Был ли сайт назван в отчёте...

Ответ

Now that this has been disclosed, one of the affected websites that has not been listed is: http://www.themoscowtimes.com/. I was a victim of the exploit myself, so if you have visited that website before August 8, you might have been as well. The attempt to load a PDF was visible in the browser in 2 ways.

1.) Displaying a message that the PDF may not be displayed correctly, which looked like this: https://support.cdn.mozilla.ne.....ads/images/2013-03... except for the PDF of course, because it was loaded in a hidden iframe.

2.) In my case the exploit tried to open one of my public keys (with the .pub file extension) but because the browser determined this was an executable file (because of the mime-type) that should not be displayed by the browser it triggered a file dialog asking me to open the file with some other program. This is what alarmed me and that way I discovered this 0-day. I must say however that other versions of the exploit have surfaced that do no longer target the public key file (maybe for this reason?) so the file theft may not be noticed.

—	pgprubot (15/08/2015 17:01, исправлен 15/08/2015 17:07) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

Как уже где-то писали, ирония в том, что PDF.js со встроенным вьюером был призван сделать как раз наоборот — повысить безопасность. С одной стороны, разработчики правы: PDF — перегруженный и слишком умный формат, причём есть много небезопасных просмотрщиков, которые полезут в сеть напрямую. С другой стороны, есть множество простых оупенсорсных вью (тот же gv и xpdf), которые, если никуда специально не тыкать (например, по ссылкам), сами в сеть не лезут.

> In my case the exploit tried to open one of my public keys (with the .pub file extension) but because the browser determined this was an executable file (because of the mime-type) that should not be displayed by the browser it triggered a file dialog asking me to open the file with some other program. This is what alarmed me and that way I discovered this 0-day.

Фактически эксплоит был обнаружен только благодаря багу в малвари. Представляю глаза обнаружившего, когда при заходе на новостную страницу браузер ему предложил открыть его публичный ключ каким-нибудь иным вьюером. ☺

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]