Video: Cum citești conversațiile WhatsApp ale cunoscuților (Noiembrie 2024)
Atacatorii exploatează vulnerabilități grave în Internet Explorer în timpul unui atac de udare, au avertizat cercetătorii firmei de securitate FireEye. Utilizatorii păcăliți să acceseze site-ul infectat sunt loviți de malware care infectează memoria computerului într-un atac clasic drive-by.
Atacatorii au încorporat codul rău intenționat care exploatează cel puțin două defecte din ziua zero în Internet Explorer într-un "site web important din punct de vedere strategic, cunoscut pentru a atrage vizitatorii care sunt probabil interesați de politica de securitate națională și internațională", a declarat FireEye în analiza sa săptămâna trecută. FireEye nu a identificat site-ul dincolo de faptul că avea sediul în Statele Unite.
"Exploat-ul foloseste o noua vulnerabilitate a scurgerii de informatii si o vulnerabilitate de acces la memoria IE in afara limitelor pentru a realiza executia codului", au scris cercetatorii FireEye. "Este o singură vulnerabilitate care este exploatată în diferite moduri diferite."
Vulnerabilitățile sunt prezente în Internet Explorer 7, 8, 9 și 10, care rulează pe Windows XP sau Windows 7. În timp ce atacul curent vizează versiunea engleză a Internet Explorer 7 și 8 care rulează atât pe Windows XP cât și pe Windows 8, exploitarea ar putea să fie schimbat pentru a viza alte versiuni și limbi, a spus FireEye.
APT neobișnuit sofisticat
FireEye a spus că această campanie avansată de amenințare persistentă (APT) folosește unele din aceleași servere de comandă și control ca cele utilizate în atacurile anterioare APT împotriva țintelor japoneze și chineze, cunoscută sub numele de Operation Deputat. Acest APT este neobișnuit de sofisticat, deoarece distribuie sarcină utilă dăunătoare care rulează numai în memoria computerului, a constatat FireEye. Deoarece nu se scrie pe disc, este mult mai greu să depistați sau să găsiți dovezi medico-legale pe mașinile infectate.
„Utilizând compromisuri strategice pe Web împreună cu tactici de livrare a sarcinii utile în memorie și metode multiple de obstrucție, această campanie s-a dovedit a fi realizată în mod excepțional și evazivă”, a spus FireEye.
Cu toate acestea, având în vedere că malware-ul fără disc este rezident complet în memorie, pur și simplu repornirea aparatului pare să elimine infecția. Atacatorii nu par să fie îngrijorați de faptul că sunt persistați, sugerând că atacatorii sunt „încrezători că țintele propuse ar revizui pur și simplu site-ul compromis și vor fi re-infectate”, au scris cercetătorii FireEye.
Înseamnă, de asemenea, că atacatorii se mișcă foarte repede, deoarece trebuie să se deplaseze prin rețea pentru a ajunge la alte ținte sau pentru a găsi informațiile pe care le au înainte ca utilizatorul să repornească mașina și să înlăture infecția. "Odată ce atacatorul intră și escaladează privilegiile, acestea pot implementa multe alte metode pentru a stabili persistența", a declarat Ken Westin, cercetător de securitate la Tripwire.
Cercetătorii companiei de securitate Triumfant au revendicat o creștere a malware-urilor fără discuri și se referă la aceste atacuri sub denumirea de Advanced Volatile Amenințări (AVT).
Nu are legătură cu Office Flaw
Cea mai recentă vulnerabilitate a Internetului zero de la Zero vine de la apariția unui defect critic în Microsoft Office, de asemenea, raportat săptămâna trecută. Defectul în care Microsoft Windows și Office accesează imaginile TIFF nu au legătură cu acest bug Internet Explorer. În timp ce atacatorii exploatează deja bug-ul Office, majoritatea țintelor sunt în prezent în Orientul Mijlociu și Asia. Utilizatorii sunt încurajați să instaleze FixIt, ceea ce limitează capacitatea computerului de a deschide grafică, în așteptarea unei corecții permanente.
FireEye a notificat Microsoft despre vulnerabilitatea, dar Microsoft nu a comentat încă publicul despre defect. Este extrem de puțin probabil ca acest bug să fie rezolvat la timp pentru lansarea de marți Patch Tuesday.
Cea mai recentă versiune a Microsoft EMET, Sistemul de instrumente îmbunătățit pentru atenuare, blochează cu succes atacurile care vizează vulnerabilitățile IE, precum și cele Office. Organizațiile ar trebui să ia în considerare instalarea EMET. Utilizatorii pot, de asemenea, să ia în considerare actualizarea la versiunea 11 a Internet Explorer sau să folosească browsere, altele decât Internet Explorer, până la remedierea erorii.
Probleme XP
Această ultimă campanie de gaură de udare evidențiază, de asemenea, modul în care atacatorii vizează utilizatorii Windows XP. Microsoft a amintit în mod repetat utilizatorilor că nu va mai furniza actualizări de securitate pentru Windows XP după aprilie 2014, iar utilizatorii ar trebui să facă upgrade la versiunile mai noi ale sistemului de operare. Cercetătorii de securitate cred că mulți atacatori stau pe cache-urile vulnerabilităților XP și consideră că va exista un val de atacuri care vizează Windows XP după ce Microsoft va încheia suportul pentru sistemul de operare îmbătrânit.
„Nu întârziați - faceți upgrade de la Windows XP la altceva cât mai curând posibil dacă vă puneți în valoare securitatea”, a scris Graham Cluley, un cercetător independent de securitate pe blogul său.