近日,一个新的Java 0day被发现在APT和挂马中,被称之为cve-2012-4681。JRE7.x中存在提权漏洞,攻击者利用这个漏洞可以在本地运行任意代码。这个漏洞是基于JAVA的,可以影响多WINDOWS、LINUX/UNIX、MAC多个平台操作系统,老版本的JRE6并不受影响。
31日上午,JAVA官方发布了紧急补丁。天融信提醒广大用户,漏洞始终是病毒木马入侵电脑的重要通道,及时安装安全更新,可以大大降低电脑被恶意攻击的可能性。天融信防火墙IDP/IDS已更新了安全策略有效保护客户安全。
以下是我们捕获到的一个样本,样本使用Dadong's JSXX混淆加密方式躲过防火墙,杀软等。
动态创建了一个applet,在applet中运行GondadGondadExp.class样本,触发java0day。下面是对GondadGondadExp.class样本的反编译分析。
漏洞分析
样本和EXP:
首先提权,然后即可执行任意代码。
获取的到了java.beans.Statement.acc的AccessControlContext
java.beans.Statement实例的AccessControlContext拥有全部权限
而applet程序默认只有少量权限,从而通过Set函数覆盖applet原有的权限,即可完成提权过程。
导致突破沙箱,任意代码执行。
POC:
|
