Video: Internet Explorer Zero-Day Vulnerability Under Active Attack (Noiembrie 2024)
Cercetătorii de la Exodus Intelligence au raportat că au reușit să ocolească soluția Fix-It, pe care Microsoft a lansat-o luni pentru cea mai recentă vulnerabilitate din ziua zero în Internet Explorer.
În timp ce Fix-It a blocat calea exactă de atac folosită în atacul Consiliului de pe site-ul Relațiilor Externe, cercetătorii au putut să „ocolească repararea și să compromită un sistem complet plasat cu o variație a exploatării”, potrivit postării de vineri din blogul Exodus.
Microsoft a fost informat despre noul exploit, potrivit postării. Cercetătorii exodului au spus că nu vor dezvălui niciun fel de detalii despre exploatarea lor până când Microsoft nu găsește gaura.
Fix-ul a fost destinat a fi o soluție temporară, în timp ce compania a lucrat la corecția completă pentru a închide actualizarea de securitate. Microsoft nu a spus când va fi disponibilă actualizarea completă la Internet Explorer și nu este de așteptat să fie inclusă în lansarea programată pentru marți, Patch Tuesday.
Utilizatorii ar trebui să descarce și să instaleze setul de instrumente Microsoft Enhanced Mitigation Experience 3.5 „ca un alt instrument care să vă ajute să vă apărați sistemele Windows împotriva diferitelor atacuri”, a scris Guy Bruneau al Institutului SANS, pe blogul Internet Storm Center. O postare ISC anterioară a demonstrat modul în care EMET 3.5 ar putea bloca atacurile care vizează vulnerabilitatea IE.
Mai multe site-uri compromise
Cercetătorii FireEye au identificat pentru prima dată defectul zilei zero, când au descoperit că site-ul Consiliului de Relații Externe a fost compromis și a difuzat fișiere Flash dăunătoare vizitatorilor care nu-i respectau. Se pare că o serie de alte site-uri politice, sociale și de drepturi ale omului din SUA, Rusia, China și Hong Kong au fost, de asemenea, infectate și distribuiau programe malware.
Atacul CFR ar fi putut începe încă din 7 decembrie, a precizat FireEye. Atacatorii au folosit astăzi.swf, un fișier Adobe Flash rău intenționat, pentru a lansa un atac de spray heap împotriva IE care a permis atacatorului să execute de la distanță codul pe computerul infectat.
Cercetătorii Avast au spus că două site-uri chineze pentru drepturile omului, un site de ziare din Hong Kong și un site științific rus au fost modificate pentru a distribui un Flash care exploatează vulnerabilitatea în Internet Explorer 8. Cercetătorul de securitate Eric Romang a găsit același atac asupra site-ului web al producătorului Capstone Turbine Corporation al producătorului de microturbine energetice., precum și pe site-ul aparținând grupului de dizidenți chinezi Uygur Haber Ajanski. Turbina Capstone ar fi fost infectată încă din 17 decembrie.
Romang a spus că, în septembrie, Capstone Turbine a fost modificată pentru a distribui malware-ul care exploateaza o vulnerabilitate diferită de zero zile.
"Potențial tipii din spatele CVE-2012-4969 și CVE-2012-4792 sunt aceiași", a scris Romang.
Cercetătorii Symantec au legat ultimele atacuri cu grupul Elderwood, care a folosit alte defecte din ziua zero pentru a lansa atacuri similare în trecut. Grupul a reutilizat componente de pe platforma "Elderwood" și a distribuit fișiere Flash similare victimelor sale, a spus Symantec. Symantec a spus că fișierul Flash rău intenționat care i-a infectat pe vizitatorii Capston Turbine avea mai multe asemănări cu fișierul Flash folosit anterior de gașca Elderwood în alte atacuri.
"A devenit clar că grupul din spatele Proiectului Elderwood continuă să producă noi vulnerabilități pentru o zi zero pentru utilizarea în atacurile de udare a găurilor și ne așteptăm să continue să facă acest lucru în Anul Nou", potrivit Symantec.