Videó: Internet Explorer Zero-Day Vulnerability Under Active Attack (November 2024)
Az Exodus Intelligence kutatói beszámoltak arról, hogy képesek megkerülni a Fix-It megoldást, amelyet a Microsoft hétfőn engedt közzé az Internet Explorer legfrissebb null napos biztonsági rése miatt.
Miközben a Fix-It blokkolta a külügyi kapcsolatokról szóló, a Tanács elleni támadásban használt pontos támadási útvonalat, a kutatók képesek voltak "megkerülni a javítást és veszélyeztetni egy teljesen javított rendszert a kizsákmányolás változatosságával", mondja a pénteki bejegyzés az Exodus blog.
A levél szerint a Microsoftot tájékoztatták az új kihasználásról. Az Exodus kutatói kijelentették, hogy addig nem fognak nyilvánosságra hozni részleteiket, amíg a Microsoft nem javítja a lyukat.
A javítást ideiglenes javításnak szánták, míg a vállalat a teljes javításon dolgozott a biztonsági frissítés bezárása érdekében. A Microsoft nem mondta, hogy mikor lesz elérhető az Internet Explorer teljes frissítése, és várhatóan nem fog belekerülni a jövő héten tervezett Patch kedd kiadásba.
A felhasználóknak töltsék le és telepítsék a Microsoft Enhanced Mitigation Experience 3.5 eszközkészletét, amely egy másik eszköz, amely megvédi a Windows rendszereket a különféle támadásokkal szemben "- írta a SANS Intézet Guy Bruneau az Internet Storm Center blogjában. Egy korábbi ISC-bejegyzés kimutatta, hogy az EMET 3.5 miként képes blokkolni az IE sebezhetőségét célzó támadásokat.
Több kompromittált webhely található
A FireEye kutatói először a nulla napos hibát fedezték fel, amikor azt tapasztalták, hogy a Tanács a Külkapcsolatok weboldalán veszélybe került és rosszindulatú Flash fájlokat szolgáltattak a gyanútlan látogatóknak. Kiderült, hogy számos más politikai, társadalmi és emberi jogi webhely az Egyesült Államokban, Oroszországban, Kínában és Hong Kongban is fertőzött és rosszindulatú programokat terjeszt.
A CFR támadás már december 7-én megkezdődhetett, mondta a FireEye. A támadók a today.swf fájlt, egy rosszindulatú Adobe Flash fájlt, egy halom permet támadást indítottak az IE ellen, amely lehetővé tette a támadó számára, hogy távolról futtasson kódot a fertőzött számítógépen.
Az avast kutatók szerint két kínai emberi jogi webhelyet, egy hongkongi újságot és egy orosz tudományos webhelyet úgy módosítottak, hogy az Internet Explorer 8 sebezhetőségét kihasználó Flash-t terjesztjék. Eric Romang biztonsági kutató ugyanazt a támadást találta az energia mikroturbinák gyártója, a Capstone Turbine Corporation webhelyén., valamint az Uygur Haber Ajanski kínai disszidens csoporthoz tartozó oldalon. Lehet, hogy a Capstone Turbine már 17. decemberében megfertőződött.
Szeptemberben a Capstone Turbine-t úgy módosították, hogy rosszindulatú programokat terjesszen, amelyek eltérő nulla napos sebezhetőséget használnak fel - mondta Romang.
"Lehetséges, hogy a CVE-2012-4969 és a CVE-2012-4792 mögött álló srácok ugyanazok" - írta Romang.
A Symantec kutatói a legutóbbi támadásokat az Elderwood csoporthoz kötötte, aki más nulla napos hibákat is használt a hasonló támadások elindításához a múltban. A csoport újrafelhasználta az "Elderwood" platform komponenseit, és hasonló Flash fájlokat terjesztett áldozatainak - mondta a Symantec. A rosszindulatú Flash-fájl, amely a Capston Turbine látogatóit megfertőzte, számos hasonlóságot mutatott az Elderwood banda által korábban más támadások során használt Flash-fájllal - mondta a Symantec.
"Világossá vált, hogy az Elderwood Projekt mögött álló csoport továbbra is új nulla napos sebezhetőségeket generál, amelyeket felhasználni lehet az öntözőlyukak támadásainak, és elvárjuk, hogy az új évben továbbra is ezt tegyék meg" - mondta a Symantec.
