Video: Internet Explorer Zero-Day Vulnerability Under Active Attack (Oktober 2024)
Raziskovalci iz podjetja Exodus Intelligence so poročali, da je uspelo zaobiti rešitev Fix-It, ki jo je Microsoft izdal v ponedeljek zaradi zadnje ranljivosti v Internet Explorerju, ki je ničelna.
Medtem ko je Fix-It blokiral natančno pot napada, ki je bila uporabljena v napadu na spletno stran Sveta za zunanje odnose, so raziskovalci lahko "zaobšli popravek in kompromitirali popolnoma zakrpen sistem z različnim izkoriščanjem", piše v petkovem postu na blog Exodus.
Glede na objavo je bil Microsoft obveščen o novem izkoriščanju. Raziskovalci Exodusa so rekli, da ne bodo razkrili nobenih podrobnosti o njihovem izkoriščanju, dokler Microsoft ne bo zakrpal luknje.
Fix-To naj bi bil začasen popravek, medtem ko je podjetje delalo na celotnem popravku za zapiranje varnostne posodobitve. Microsoft še ni sporočil, kdaj bo na voljo popolna posodobitev Internet Explorerja, zato naj ne bi bil vključen v načrtovano izdajo Patch torka za naslednji teden.
Uporabniki bi morali prenesti in namestiti Microsoftov pripomoček Enhanced Mitigation Experience 3.5 kot "drugo orodje za zaščito sistemov Windows pred različnimi napadi, " je na blogu Internet Storm Center zapisal Guy Bruneau inštitut SANS. Prejšnja objava ISC je pokazala, kako lahko EMET 3.5 blokira napade, ki ciljajo na ranljivost IE.
Najdenih več ogroženih spletnih mest
Raziskovalci FireEye so najprej ugotovili napako brez vrednosti dneva, ko so ugotovili, da je spletno mesto Sveta za zunanje odnose ogroženo in je pošiljalo zlonamerne datoteke Flash nezaupljivim obiskovalcem. Izkazalo se je, da so bila številna druga politična, socialna in človekova spletna mesta v ZDA, Rusiji, na Kitajskem in v Hong Kongu okužena in so širila zlonamerno programsko opremo.
Napad CFR se je lahko začel že 7. decembra, je dejal FireEye. Napadalci so danes.swf, zlonamerno datoteko Adobe Flash, uporabili za napad z brizganjem proti IE, ki je napadalcu omogočil daljinsko izvajanje kode na okuženem računalniku.
Raziskovalci Avasta so povedali, da sta bila dva kitajska spletna mesta za človekove pravice, časopis za hongkonški časopis in ruska znanstvena stran spremenjena za distribucijo Flash-ja, ki izkorišča ranljivost v Internet Explorerju 8. Varnostni raziskovalec Eric Romang je našel enak napad na proizvajalca energetskih mikroturbin Capstone Turbine Corporation, kot tudi na mestu, ki pripada kitajski disidentski skupini Uygur Haber Ajanski. Capstone Turbine se je lahko okužila že 17. decembra.
Romang je povedal, da je bil septembra Capstone Turbine spremenjen za distribucijo zlonamerne programske opreme, ki izkorišča drugačno ranljivost nič.
"Morebiti so fantje za CVE-2012-4969 in CVE-2012-4792 enaki, " je zapisal Romang.
Raziskovalci Symanteca so zadnje napade povezali s skupino Elderwood, ki je v preteklosti uporabila druge napake z ničelnimi dnevi. Skupina je ponovno uporabila komponente s platforme "Elderwood" in svojim žrtvam razdelila podobne datoteke Flash, je dejal Symantec. Zlonamerna datoteka Flash, ki je okužila obiskovalce Capston Turbine, je imela več podobnosti z datoteko Flash, ki jo je tolpa Elderwood prej uporabljala pri drugih napadih, je dejal Symantec.
"Jasno je postalo, da skupina, ki stoji za projektom Elderwood, še naprej ustvarja nove ranljivosti, ki jih je treba uporabiti pri napadih z luknjanjem, in bomo pričakovali, da bodo to storili tudi v novem letu, " pravi Symantec.
