MS IE 0-day vulnerability detection rule (CVE-2010-3962 ) – rev2

관련링크

http://www.symantec.com/connect/fr/blogs/new-ie-zero-day-used-targeted-attacks

http://blog.ahnlab.com/asec/432

http://www.microsoft.com/technet/security/advisory/2458511.mspx

 

익스플로잇

http://www.exploit-db.com/exploits/15418/?utm_source=twitterfeed&utm_medium=twitter

 

table style에서 position: absolute를 쓰고 clip 속성을 지정할 경우 exploit.

 

탐지룰

alert tcp any $HTTP_PORT -> any any (pcre:”/table\s*\n*\s*\x7b*[^\x7d\x3e]*position\s*\x3a\s*absolute\s*\x3b[^\x7d\x3e]*clip\s*\x3a\s*/i”;)

룰 적용 후 해당 victim IP의 행위(추후행동, 호스트 포렌직) 조사 필요.

백신 검사필요.

이어진 페이로드에서 쉘코드가 존재하는지 확인해볼필요.

pcre만 사용하므로 몇 IDS,IPS에서는 성능이슈가 제기될 수 있음

pcre이전에 content를 쓸수 있지만 성능이 항상 문제… (content로 특정 단어를 잡기에는 많은 히트수가 생길 수 있음. 굳이 고른다면…)

alert tcp any $HTTP_PORT -> any any (content:”absolute”; nocase; pcre:”/table\s*\n*\s*\x7b*[^\x7d\x3e]*position\s*\x3a\s*absolute\s*\x3b[^\x7d\x3e]*clip\s*\x3a\s*/i”;)

Advertisements

About this entry