Itthon Securitywatch A nulla napos internetes felfedező célzott nukleáris dolgozókat használ ki

A nulla napos internetes felfedező célzott nukleáris dolgozókat használ ki

Videó: Internet Explorer закрывается сразу после запуска! (November 2024)

Videó: Internet Explorer закрывается сразу после запуска! (November 2024)
Anonim

Április végén a biztonsági kutatók felfedezték az Internet Explorer 8 egyik kihasználását, amely lehetővé tette a támadók számára, hogy rosszindulatú kódot hajtsanak végre az áldozatok számítógépein. A leginkább aggasztó, hogy a kizsákmányolást vadonban találták meg az Egyesült Államok Munkaügyi Minisztériumának (DoL) webhelyén, valószínűleg a nukleáris vagy más mérgező anyagokhoz való hozzáféréssel rendelkező munkavállalók számára. A hétvégén a Microsoft megerősítette, hogy a kizsákmányolás új zéró napot jelentett az IE 8-ban.

A kizsákmányolás

A Microsoft pénteken kiadott biztonsági tanácsot, amely megerősítette az Internet Explorer 8 CVE-2013-1347 kihasználását, megjegyezve, hogy a 6., a 7., a 9. és a 10. verzió változatlan marad.

"Ez egy távoli kódfuttatást lehetővé tévő biztonsági rés" - írta a Microsoft. "A biztonsági rés abban rejlik, hogy az Internet Explorer törölt vagy nem megfelelően kiosztott objektumhoz fér hozzá a memóriában. A biztonsági rés tönkreteheti a memóriát oly módon, hogy a támadó tetszőleges kódot hajtson végre a jelenlegi felhasználó kontextusában. az Internet Explorerben."

"A támadó speciálisan kialakított webhelyet üzemeltethet, amelyet arra terveztek, hogy kihasználják ezt a biztonsági rést az Internet Explorer segítségével, majd rávegyék a felhasználót a webhely megtekintésére" - írja a Microsoft. Sajnos úgy tűnik, hogy ez már megtörtént.

A vadonban

A kizsákmányolást először április végén észrevette az Invincea biztonsági társaság. Megjegyezték, hogy a DoL webhely úgy tűnik, hogy egy másik webhelyre irányítja a látogatókat, ahol a Poison Ivy trójai változatát telepítették az áldozat eszközére.

Az AlienVault Labs írta, hogy míg a rosszindulatú program számos tevékenységet hajtott végre, az áldozat számítógépét is átvizsgálta annak meghatározására, hogy van-e anit-vírus, ha van ilyen. Az AlienVault szerint a rosszindulatú programok többek között az Avira, a Bitdefneder, a McAfee, az AVG, az Eset, a Dr. Web, az MSE, a Sophos, az F-secure és a Kasperky szoftvereit vizsgálták meg.

Craig Williams a Cisco Blogban írja: "Ezt az információt valószínűleg felhasználják a jövőbeli támadások elősegítésére és biztosítására".

Noha nehéz megmondani, hogy milyen indítékok vannak a DoL-támadás mögött, úgy tűnik, hogy a kizsákmányolást bizonyos célok szem előtt tartásával telepítették. Williams „öntözési lyuk” támadásnak nevezte, ahol a népszerű webhelyet úgy módosítják, hogy megfertőzze a bejövő látogatókat - hasonlóan a fejlesztők elleni támadáshoz, amelyet ebben az év elején láthattunk.

Miközben a DoL volt a támadás első lépése, valószínűnek tűnik, hogy a tényleges célok az Energiaügyi Minisztériumban voltak - konkrétan a nukleáris anyagokhoz hozzáféréssel rendelkező alkalmazottak. Az AlienVault írja, hogy részt vett a Site Exposure Matrices webhelyen, amely információkat tartalmaz a munkavállalóknak a mérgező anyagoknak való kitettség kompenzációjáról.

Williams írta: "A Munkaügyi Minisztérium weboldalán a nukleáris felhasználású tartalmakat tároló speciális oldalak látogatói rosszindulatú tartalmakat is fogadtak a dol.ns01.us domainből." A kérdéses DoL webhelyet azóta javították.

Legyen óvatos odakint

A Microsoft tanácsadása azt is megjegyzi, hogy az áldozatokat egy webhelyre kell csábítani, hogy a kizsákmányolás eredményes legyen. "Mindenesetre a támadónak nincs lehetősége arra kényszeríteni a felhasználókat, hogy látogassák meg ezeket a webhelyeket" - írja a Microsoft.

Mivel valószínű, hogy ez egy célzott támadás, a legtöbb felhasználó valószínűleg nem találkozik saját maga kihasználásával. Ha azonban a támadók egy csoportja használja, akkor valószínű, hogy mások is hozzáférhetnek az új kizsákmányoláshoz. Mint mindig, vigyázzon a furcsa linkekre és a túl jó dolgokra. A múltban a támadók olyan társadalmi mérnöki taktikákat alkalmaztak, mint például a Facebook-fiókok eltérítése, hogy rosszindulatú linkeket terjesszenek, vagy e-maileket készítenek a családtagoktól. Nagyon jó ötlet minden linket szippantási tesztnek adni.

A Microsoft nem jelentette be, hogy mikor vagy hogyan kezelik a kizsákmányolást.

A nulla napos internetes felfedező célzott nukleáris dolgozókat használ ki