Video: Internet Explorer Zero-Day Exploit Used in Targeted Attacks (Noiembrie 2024)
În aprilie, cercetătorii de securitate au descoperit o exploatare în Internet Explorer 8 care a permis atacatorilor să execute cod rău intenționat pe computerul unei victime. Cel mai tulburător, exploatarea a fost găsită în sălbăticie pe un site web al Departamentului Muncii (DoL) al SUA, eventual vizând lucrătorii cu acces la materiale nucleare sau alte materiale toxice. În acest weekend, Microsoft a confirmat că exploit-ul a fost o nouă zi zero în IE 8.
Exploitarea
Microsoft a emis vineri un aviz de securitate care a confirmat exploitarea în Internet Explorer 8 CVE-2013-1347, menționând că versiunile 6, 7, 9 și 10 nu au fost afectate.
„Aceasta este o vulnerabilitate de execuție de la distanță a codului”, a scris Microsoft. "Vulnerabilitatea există în modul în care Internet Explorer accesează un obiect din memorie care a fost șters sau nu a fost alocat corespunzător. Vulnerabilitatea poate corupe memoria într-un mod care ar putea permite unui atacator să execute cod arbitrar în contextul utilizatorului curent. în cadrul Internet Explorer."
"Un atacator ar putea găzdui un site web special conceput, care este conceput pentru a exploata această vulnerabilitate prin Internet Explorer și apoi convinge un utilizator să vadă site-ul", scrie Microsoft. Din păcate, acest lucru pare să se fi întâmplat deja.
În sălbăticie
Compania de pază Invincea a fost observată pentru prima dată în exploatare. Ei au remarcat că site-ul DoL părea să redirecționeze vizitatorii către un alt site unde o variantă a Troianului Poison Ivy a fost instalată pe dispozitivul victimei.
AlienVault Labs a scris că, în timp ce malware-ul desfășura o serie de activități, a scanat și computerul victimei pentru a determina ce este, dacă există, anit-virus. Potrivit AlienVault, malware-ul a verificat actualitatea software-ului Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-safe și Kasperky, printre altele.
Pe blogul Cisco, Craig Williams scrie, „aceste informații vor fi utilizate probabil pentru a facilita și asigura succesul atacurilor viitoare”.
Deși este greu de spus care sunt motivațiile din spatele atacului DoL, exploatarea pare să fi fost dislocată având în vedere unele ținte. Williams l-a numit un atac de „udare”, unde un site web popular este modificat pentru a infecta vizitatorii care intră - similar cu atacul dezvoltatorilor pe care l-am văzut la începutul acestui an.
În timp ce DoL a fost primul pas în atac, se pare posibil ca țintele reale să fie la Departamentul Energiei - în special angajații cu acces la materiale nucleare. AlienVault scrie că a fost implicat site-ul site-ului Web Exposure Matrices care găzduiește informații despre compensația angajaților pentru expunerea la materiale toxice.
Williams a scris: „Vizitatorii unor pagini specifice care găzduiesc conținut nuclear legate de site-ul Departamentului Muncii primeau, de asemenea, conținut rău intenționat încărcat din domeniul dol.ns01.us." De atunci, site-ul DoL în cauză a fost reparat.
Fii atent acolo
De asemenea, în avizul Microsoft se menționează că victimele ar trebui să fie ademenite pe un site web pentru ca exploatarea să fie eficientă. „Cu toate acestea, un atacator nu ar avea cum să forțeze utilizatorii să viziteze aceste site-uri web”, scrie Microsoft.
Deoarece este posibil ca acesta să fie un atac vizat, majoritatea utilizatorilor nu vor întâmpina exploatarea în sine. Cu toate acestea, dacă este folosit de un grup de atacatori, este probabil ca și alții să aibă acces la noua exploatare. Ca întotdeauna, aveți grijă la linkuri ciudate și oferte prea bune pentru a fi adevărate. În trecut, atacatorii au folosit tactici de inginerie socială precum deturnarea conturilor de Facebook pentru a răspândi link-uri rău intenționate sau a face ca e-mailurile să pară că sosesc de la membrii familiei. Este o idee bună să oferiți fiecărei legături un test sniff.
Microsoft nu a anunțat când sau cum se va adresa exploitarea.