Een beveiligingslek in DirectX dat aanvallers gebruiken om kwetsbare systemen met een Trojaans paard te infecteren, heeft onderzoekers verbaasd. Er is nog altijd geen patch voor het lek in het DirectShow onderdeel van DirectX, dat eind mei voor het eerst werd ontdekt. De aanval die cybercriminelen op dit moment toepassen wordt gelinkt vanaf phishing-websites. De phishingsites in kwestie proberen niet alleen de Windows Live login van gebruikers te stelen, maar laden ook de DirectShow exploit.
Via een verborgen iframe wordt een gecorrumpeerd avi bestand geladen dat het lek misbruikt en vervolgens aanvullende kwaadaardige .dll bestanden laadt. Deze bestanden laden op hun beurt weer de payload, in dit geval een Trojaans paard. De Trojan stuurt na activatie wat gegevens over de gebruiker terug en wacht op verdere opdrachten van de aanvaller.
Bijzonder
De exploit die de aanvallers gebruiken is voor verschillende redenen interessant, zegt Symantec's Liam O Murchu. Het is namelijk niet een standaard buffer overflow, maar een lek dat alleen één byte in het geheugen overschrijft. "Dit betekent dat de maker van de exploit 'outside the box' moest denken om dit lek te misbruiken." En dat leidt tot het tweede interessante punt van deze aanval.
Dit is namelijk één van de eerste exploits die de techniek van Alex Sotirov en Mark Dowd toepast, zoals beschreven in het paper “Bypassing Browser Memory Protections". Deze techniek maakt het gebruik van "heap-spraying" code, zoals dat normaal op exploit sites wordt aangetroffen, overbodig. In dit geval is die code wel op de exploit-sites aanwezig en waarom weet ook O Murchu niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.