Video: Zero-Day: Internet Explorer 11 Sandbox Bypass (November 2024)
Napadalci izkoriščajo resne ranljivosti v Internet Explorerju v napadu z luknjami, so opozorili raziskovalci varnostne družbe FireEye. Uporabniki, ki so naveličani dostopa do okuženega spletnega mesta, so napadli zlonamerno programsko opremo, ki okuži računalniški pomnilnik v klasičnem napadu zaradi pogona.
Napadalci so zlonamerno kodo, ki v Internet Explorerju izkorišča vsaj dve ničelni dnevni napaki, v "strateško pomembno spletno mesto, ki zna pritegniti obiskovalce, ki jih verjetno zanima nacionalna in mednarodna varnostna politika", je v svoji analizi prejšnji teden dejal FireEye. FireEye spletnega mesta ni identificiral mimo tega, ker ima sedež v Združenih državah Amerike.
"Izkoriščanje izkorišča novo ranljivost za uhajanje informacij in IE ranljivost dostopa do pomnilnika, da doseže izvajanje kode, " so zapisali FireEye raziskovalci. "Gre za eno ranljivost, ki jo izkoriščamo na različne načine."
Ranljivosti so prisotne v Internet Explorerju 7, 8, 9 in 10, ki deluje v operacijskem sistemu Windows XP ali Windows 7. Medtem ko trenutni napad cilja na angleško različici Internet Explorerja 7 in 8, ki delujeta v sistemih Windows XP in Windows 8, bi izkoriščanje lahko spremeniti tako, da bo ciljal na druge različice in jezike, je dejal FireEye.
Nenavadno prefinjen APT
FireEye je dejal, da ta napredna vztrajna nevarnostna kampanja (APT) uporablja nekaj istih strežnikov za povezovanje in nadzor kot tisti, ki so bili uporabljeni v prejšnjih napadih APT na japonske in kitajske cilje, znane kot Operation заместnik. Ta APT je nenavadno izpopolnjen, saj distribuira zlonamerno koristno obremenitev, ki deluje samo v računalnikovem pomnilniku, je ugotovil FireEye. Ker se ne napiše na disk, je težje odkriti ali najti forenzične dokaze na okuženih strojih.
"Z uporabo strateških spletnih kompromisov, skupaj s taktiko prikazovanja koristnosti v pomnilniku in več ugnezdenih načinov zakulisja, se je ta kampanja izkazala za izjemno dovršeno in nedosegljivo, " je dejal FireEye.
Ker pa je zlonamerna programska oprema brez diska popolnoma ostala v pomnilniku, se zdi, da preprosto vnovični zagon naprave odstrani okužbo. Zdi se, da napadalci ne skrbijo, da bodo vztrajni, kar kaže na to, da so napadalci "prepričani, da bodo njihovi ciljni cilji preprosto ponovno pregledali ogroženo spletno mesto in se ponovno okužili, " so zapisali raziskovalci FireEye.
Pomeni tudi, da se napadalci premikajo zelo hitro, saj se morajo premakniti po omrežju, da dosežejo druge cilje ali poiščejo informacije, ki jih iščejo, preden uporabnik ponovno zažene stroj in odstrani okužbo. "Ko napadalec poseže in povečuje privilegije, lahko uporabi številne druge metode za vztrajanje, " je dejal Ken Westin, varnostni raziskovalec družbe Tripwire.
Raziskovalci varnostnega podjetja Triumfant trdijo, da se je povečala brezzvezna zlonamerna programska oprema in omenjene napade označujejo kot Advanced Volatile Threats (AVT).
Ni povezano z Office Flaw
Najnovejša ranljivost Internet Explorerja z ničelnimi dnevnimi ranljivostmi se je odkrila kot kritična napaka v Microsoftovem uradu. Napaka v načinu, kako Microsoft Windows in Office dostopa do slik TIFF, ni povezana s to napako Internet Explorerja. Medtem ko napadalci že izkoriščajo hrošče Office, je večina tarč trenutno na Bližnjem vzhodu in v Aziji. Uporabnike spodbujamo, naj namestijo FixIt, ki računalniku omejuje zmožnost odpiranja grafike, medtem ko čakajo na trajni popravek.
FireEye je o ranljivosti obvestil Microsoft, vendar Microsoft še ni javno komentiral njegove napake. Zelo malo verjetno je, da bi se ta napaka odpravila pravočasno za jutrišnjo izdajo Patch torka.
Najnovejša različica Microsoftovega programa EMET, orodje za izboljšano blaženje izkušenj, uspešno blokira napade, ki ciljajo na ranljivosti IE, pa tudi na Office. Organizacije bi morale razmisliti o namestitvi sistema EMET. Uporabniki lahko razmislijo tudi o nadgradnji na različico Internet Explorerja 11 ali uporabljajo brskalnike, ki niso Internet Explorer, dokler napaka ni odpravljena.
Izdaje XP
Ta zadnja akcija luknje z luknjami tudi poudarja, kako napadalci ciljajo na uporabnike sistema Windows XP. Microsoft je uporabnike že večkrat opozoril, da bodo prenehali zagotavljati varnostne posodobitve za Windows XP po aprilu 2014, uporabniki pa bi morali nadgraditi na novejše različice operacijskega sistema. Varnostni raziskovalci verjamejo, da mnogi napadalci sedijo v predpomnilnikih ranljivosti XP in verjamejo, da bo prišlo do vala napadov, ki bodo ciljali na Windows XP, ko bo Microsoft prenesel podporo starajočemu se operacijskemu sistemu.
"Ne odlašajte - čim prej nadgradite sistem Windows XP na nekaj drugega, če cenite svojo varnost, " je na svojem blogu zapisal Graham Cluley, neodvisni raziskovalec varnosti.