Exploit.HTML.CVE-2010-4452.h

Отправлено 28 дек. 2011 г., 01:41 пользователем Работа КА [ обновлено 28 дек. 2011 г., 01:45 ]

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h).

Технические детали

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Представляет собой HTML документ. Имеет размер 203 байта.

Деструктивная активность

После открытия зараженной HTML страницы вредонос начинает эксплуатировать уязвимость, которая существует в "Deployment" компоненте в "Java Runtime Environment" (JRE) (CVE-2010-4452.h). Уязвимыми являются "Java Runtime Environment" (JRE) и "Java for Business" версии 6.0 до 23-го обновления. Данная уязвимость позволяет обойти атакующему настройки безопасности "песочницы" Java (Java Sandbox) и выполнить код на уязвимой системе. Для выполнения данного эксплоита в HTML документе указаны следующие параметры Java апплета:

Параметр базовый адрес ("codebase") указывает на доверенный каталог:
C:\Program Files\java\jre6\lib\ext
В качестве имени файла задается специально сформированная ссылка, которая указывает на исполняемый Java-апплет:
http://327****719/AppletX

По данной ссылке осуществляется обращение к URL:
http://195.**.**.31/AppletX

Данному апплету в качестве параметра с именем "aaa" передается ссылка в зашифрованном виде. Затем вредонос осуществляет по ссылке загрузку исполняемого файла, который сохраняется в каталоге временного хранения файлов текущего пользователя с именем:

%Temp%\<rnd>.exe

где rnd – случайное дробное число от 0 до 1. Затем Вредонос запускает загруженный файл на выполнение. На момент создания описания ссылки не работали.