Video: "Nitro" Internet Explorer Zero-Day (Oktober 2024)
Konec aprila so varnostni raziskovalci v Internet Explorerju 8 odkrili podvig, ki je napadalcem omogočil izvrševanje zlonamerne kode v računalniku žrtve. Najbolj zaskrbljujoče je bilo, da je bil eksploziv najden v naravi na spletnem mestu ameriškega ministrstva za delo (DoL), ki je morda usmerjen na delavce, ki imajo dostop do jedrskih ali drugih strupenih snovi. Ta konec tedna je Microsoft potrdil, da je bil izkoristek nov IE-8 na ničli dan.
Izkorišče
Microsoft je v petek izdal varnostno svetovanje, s katerim je potrdil izkoriščanje v programu Internet Explorer 8 CVE-2013-1347 in ugotovil, da različice 6, 7, 9 in 10 niso bile prizadete.
"To je ranljivost za oddaljeno izvrševanje kode, " je zapisal Microsoft. "Ranljivost obstaja tako, da Internet Explorer dostopa do predmeta v pomnilniku, ki je bil izbrisan ali ni bil pravilno dodeljen. Ranljivost lahko poškoduje pomnilnik na način, ki bi napadalcu omogočil izvajanje poljubne kode v kontekstu trenutnega uporabnika v Internet Explorerju."
"Napadalec bi lahko gostil posebej izdelano spletno mesto, ki je namenjeno izkoriščanju te ranljivosti prek Internet Explorerja in nato prepriča uporabnika, da si ogleda spletno mesto, " piše Microsoft. Žal se je to že zgodilo.
V divjini
Podvig je prvič aprila opazilo varnostno podjetje Invincea. Opazili so, da se zdi, da spletna stran DoL preusmerja obiskovalce na drugo spletno mesto, kjer je bila na napravo žrtve nameščena različica trojanca Poison Ivy.
AlienVault Labs je zapisal, da je zlonamerna programska oprema kljub številnim dejavnostim skenirala tudi računalnik žrtve, da bi ugotovila, kaj je, če obstaja, anit virus. Po besedah AlienVaulta je zlonamerna programska oprema med drugim preverila, ali so med drugim prisotne programske opreme Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure in Kasperky.
Na blogu Cisco, piše Craig Williams, "bodo te informacije verjetno uporabljene za lažjo in zagotovitev uspešnosti prihodnjih napadov."
Čeprav je težko reči, kakšni so motivi za napadom na DoL, se zdi, da je bil izkoriščanje uporabljeno z nekaterimi cilji. Williams je to imenoval napad "luknje za luknje", kjer je priljubljeno spletno mesto spremenjeno tako, da okuži prihajajoče obiskovalce - podobno kot napad na razvijalce, ki smo ga videli v letošnjem letu.
Medtem ko je bil DoL prvi korak v napadu, se zdi, da so bili dejanski cilji na ministrstvu za energijo - zlasti zaposleni, ki imajo dostop do jedrskega materiala. AlienVault piše, da je bilo vključeno spletno mesto Matrices Exposure Matrices, ki gosti informacije o nadomestilu zaposlenih za izpostavljenost strupenim materialom.
Williams je zapisal: "Obiskovalci določenih strani, ki na spletnem mestu ministrstva za delo gostijo jedrsko vsebino, so prejemali tudi zlonamerno vsebino, naloženo z domene dol.ns01.us." Zadevna spletna stran DoL je od takrat popravljena.
Bodite previdni tam
Microsoftovo svetovanje tudi ugotavlja, da bi morali žrtve izkoristiti na spletno mesto, da bi bil izkoristek učinkovit. "V vseh primerih pa napadalec ne bi mogel uporabnikov prisiliti k obisku teh spletnih mest, " piše Microsoft.
Ker je možno, da gre za ciljni napad, večina uporabnikov verjetno ne bo naletela na izkoriščanje. Če pa jo uporablja ena skupina napadalcev, bodo verjetno tudi drugi imeli dostop do novega izkoriščanja. Kot vedno bodite pozorni na čudne povezave in preveč ugodne, da bi bile resnične ponudbe. V preteklosti so napadalci uporabljali taktiko socialnega inženiringa, kot je ugrabitev računov na Facebooku, da bi širili zlonamerne povezave ali da bi e-poštna sporočila prišla od družinskih članov. Dobro je, da vsaki povezavi dodelite test.
Microsoft ni sporočil, kdaj ali kako se bo lotil izkoriščanja.
