Videó: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (November 2024)
A támadók kihasználják az Internet Explorer súlyos sebezhetőségét egy öntözőlyuk-támadás során - figyelmeztette a FireEye biztonsági cég kutatói. A fertőzött webhely elérésére becsapott felhasználókat olyan rosszindulatú programok támadják meg, amelyek egy klasszikus átjáró támadás során megfertőzik a számítógép memóriáját.
A támadók a rosszindulatú kódot, amely legalább két nulla napos Internet Explorer hibát használ fel, "stratégiailag fontos weboldalmá alakítják, amelyről ismert, hogy a nemzeti és nemzetközi biztonsági politikában érdeklődő látogatókat vonzza" - mondta a FireEye a múlt héten végzett elemzésében. A FireEye nem azonosította a webhelyet azon a tényen túl, hogy az Egyesült Államokban található.
"A kizsákmányoló új információszivárgást okozó biztonsági rést és egy IE-n kívüli memóriahozzáférhetőséget kihasznál a kódfuttatás elérése érdekében" - írta a FireEye kutatói. "Ez egy sebezhetőség, amelyet különféle módon használnak ki."
A biztonsági rések a Windows XP vagy Windows 7 rendszeren futó Internet Explorer 7, 8, 9 és 10 verziókban találhatók. Míg a jelenlegi támadás az Internet Explorer 7 és 8 angol nyelvű verzióját célozza mind a Windows XP, mind a Windows 8 rendszeren, a kizsákmányolás a FireEye szerint más verziókra és nyelvekre is meg kell változtatni.
Szokatlanul kifinomult APT
A FireEye szerint ez a továbbfejlesztett tartós fenyegetés (APT) kampány ugyanazokat a parancs- és vezérlőszervereket használja, mint amelyek a korábbi japán és kínai célok elleni APT-támadásokban használatosak. Ez az APT szokatlanul kifinomult, mivel olyan rosszindulatú hasznos teherfelosztást terjeszt, amely kizárólag a számítógép memóriájában fut, találta a FireEye. Mivel nem írja lemezen, sokkal nehezebb felderíteni vagy igazságügyi bizonyítékokat találni a fertőzött gépeken.
"A stratégiai webes kompromisszumok, a memóriában lévő hasznos teher kiszállítási taktikák és a többszörös beágyazási módszerek felhasználásával ez a kampány rendkívül sikeresnek és megkísérlőnek bizonyult" - mondta FireEye.
Mivel azonban a lemez nélküli rosszindulatú program teljes mértékben a memóriában marad, úgy tűnik, hogy a gép egyszerű újraindítása eltávolítja a fertőzést. Úgy tűnik, hogy a támadók nem aggódnak a kitartás miatt, és arra utalnak, hogy a támadók "abban vannak biztosak abban, hogy tervezett célpontjaik egyszerűen csak újralátogatják a veszélyeztetett webhelyet, és újra megfertőződnek" - írta a FireEye kutatói.
Ez azt is jelenti, hogy a támadók nagyon gyorsan mozognak, mivel a hálózaton keresztül kell mozogniuk, hogy más célokat elérjék vagy megtalálják az általuk használt információkat, mielőtt a felhasználó újraindítja a gépet és eltávolítja a fertőzést. "Amint a támadó bejut és megnöveli a kiváltságokat, sok más módszert is alkalmazhatnak a kitartás megállapítására" - mondta Ken Westin, a Tripwire biztonsági kutatója.
A Triumfant biztonsági társaság kutatói azt állították, hogy növekszik a lemez nélküli rosszindulatú programok, és ezeket a támadásokat Advanced Volatile Threats (AVT) néven említik.
Nem kapcsolódik az Office Flaw-hoz
Az Internet Explorer legfrissebb null napos sebezhetősége a Microsoft Office egyik múlt héten bejelentett kritikus hibájának következménye. A Microsoft Windows és az Office TIFF-képekhez való hozzáférésének hibája nem kapcsolódik ehhez az Internet Explorer hibához. Míg a támadók már kihasználják az Office hibáját, a legtöbb célpont jelenleg Közép-Keleten és Ázsiában található. A felhasználókat arra ösztönzik, hogy telepítsék a FixIt alkalmazást, amely korlátozza a számítógép grafikus képeinek megnyitásának képességét, miközben állandó javításra vár.
A FireEye értesítette a Microsoft-ot a sérülékenységről, de a Microsoft még nem tett észrevételeket a hibáról. Rendkívül valószínűtlen, hogy ezt a hibát megfelelő időben kezelik-e a holnap Patch keddi kiadása előtt.
A Microsoft EMET legújabb verziója, az Enhanced Mitigation Experience Toolkit, sikeresen blokkolja az IE és az Office sebezhetőségét célzó támadásokat. A szervezeteknek fontolóra kell venniük az EMET telepítését. A felhasználók fontolóra vehetik az Internet Explorer 11-es verziójára való frissítést, vagy az Internet Explorer-től eltérő böngészők használatát, amíg a hiba nem javul.
XP kiadások
Ez a legújabb öntözőlyuk-kampány rávilágít arra is, hogy a támadók miként célozzák meg a Windows XP felhasználókat. A Microsoft többször emlékeztette a felhasználókat, hogy 2014. április után abbahagyja a Windows XP biztonsági frissítéseinek szolgáltatását, és a felhasználóknak frissíteniük kell az operációs rendszer újabb verzióira. A biztonsági kutatók szerint sok támadó az XP sebezhetőségének gyorsítótárain ül, és úgy vélik, hogy a Windows XP-t célzó támadások hulláma lesz, miután a Microsoft megszüntette az öregedő operációs rendszer támogatását.
"Ne késlekedjen - a lehető leghamarabb frissítse a Windows XP-ről valami másra, ha értékeli biztonságát" - írta blogjában Graham Cluley, a független biztonsági kutató.
