Новый 0day-эксплойт для IE 9/10 оказался необычным Уязвимости нулевого дня в браузере Internet Explorer выявляются регулярно. Иногда бывает, что их находят по результатам какой-либо таргетированной атаки. Так произошло и в этот раз с новой уязвимостью CVE-2014-0322. Эксплойт для IE 9/10 использовали как минимум две хакерские группы. Самое интересное, что и сам эксплойт оказался необычным. Дело в том, что его код разделен между JavaScript и Adobe Flash, так что отдельные части программы передают управление друг другу. Эксперт из антивирусной компании Trend Micro называют такой эксплойт гибридным. Подобная техника помогает обойти защитные механизмы операционной системы ASLR и DEP. В случае с последним эксплойтом на веб-страницу добавляют дополнительный скрипт и фрейм с swf. Всего загружается два файла. Erido.jpg (определяется как HTML_EXPLOIT.PB) Tope.swf (определяется как SWF_EXPLOIT.PB) Сначала флэш-файл инициирует загрузку кода по определенному адресу памяти (heap spray), затем управление передается обратно JavaScript, который эксплуатирует уязвимость CVE-2014-0322 — и снова передает управление программе на Flash, уже в ней содержится код для записи и чтения из памяти. Эксперты предполагают, что подобные методы возвратно-ориентированного программирования (ROP) в будущем будут все чаще применяться злоумышленниками, чтобы создавать более эффективные эксплойты для всех платформ. 20.02.2014 http://www.xakep.ru/post/62078/