Video: Microsoft Edge with Internet Explorer Mode - PRE09 (Lokakuu 2024)
Huhtikuun lopulla turvallisuustutkijat havaitsivat Internet Explorer 8: ssa hyväksikäytön, jonka avulla hyökkääjät voivat suorittaa haitallisia koodeja uhrin tietokoneella. Kaikkein huolestuttavinta on, että hyväksikäyttö on löydetty luonnosta Yhdysvaltain työministeriön (DoL) verkkosivustolla, ja se on mahdollisesti suunnattu työntekijöille, joilla on pääsy ydinmateriaaleihin tai muihin myrkyllisiin materiaaleihin. Microsoft vahvisti tänä viikonloppuna, että hyväksikäyttö oli uusi nollapäivä IE 8: ssa.
Hyödynnä
Microsoft julkaisi perjantaina tietoturvaohjeen, joka vahvisti Internet Explorer 8: n CVE-2013-1347: n hyväksikäytön ja totesi, että versiot 6, 7, 9 ja 10 eivät vaikuttaneet niihin.
"Tämä on etäkoodin suorittamisen haavoittuvuus", kirjoitti Microsoft. "Haavoittuvuus on olemassa tavalla, jolla Internet Explorer käyttää muistin objektia, joka on poistettu tai jota ei ole osoitettu oikein. Haavoittuvuus voi vioittaa muistia tavalla, joka voi antaa hyökkääjälle suorittaa mielivaltaisen koodin nykyisen käyttäjän yhteydessä. Internet Explorerissa."
"Hyökkääjä voisi isännöidä erityisen muotoilltua verkkosivustoa, joka on suunniteltu hyödyntämään tätä haavoittuvuutta Internet Explorerin kautta, ja sitten vakuuttamaan käyttäjä näkemään verkkosivusto", kirjoittaa Microsoft. Valitettavasti tämä näyttää tapahtuneen jo.
Luonnossa
Turvayritys Invincea huomasi hyväksikäytön ensimmäisen kerran huhtikuun lopulla. He huomauttivat, että DoL-verkkosivusto näytti ohjaavan kävijöitä toiselle verkkosivustolle, jossa uhrilaitteeseen oli asennettu versio Poison Ivy Troijalaisesta.
AlienVault Labs kirjoitti, että vaikka haittaohjelma suoritti useita toimintoja, se skannasi myös uhrin tietokoneen selvittääkseen, mitä anit-viruksia löytyi. AlienVaultin mukaan haittaohjelmat tarkistettiin muun muassa Aviran, Bitdefnederin, McAfeen, AVG: n, Esetin, Dr. Webin, MSE: n, Sophosin, F-Securen ja Kasperky-ohjelmistojen olemassaolon suhteen.
Craig Williams kirjoittaa Cisco-blogissa "näitä tietoja käytetään todennäköisesti helpottamaan ja varmistamaan tulevien hyökkäysten onnistuminen".
Vaikka on vaikea sanoa, mitkä DoL-hyökkäyksen taustalla olevat motiivit ovat, hyväksikäyttö näyttää toteutuneen joitain kohteita ajatellen. Williams kutsui sitä "kasteluaukko" -hyökkäykseksi, jossa suosittua verkkosivustoa muokataan tulevien kävijöiden tartuttamiseksi samaan tapaan kuin aiemmin tänä vuonna nähty hyökkäys kehittäjille.
Vaikka DoL oli ensimmäinen askel hyökkäyksessä, näyttää siltä, että todelliset kohteet olivat energiaministeriössä - erityisesti työntekijöillä, joilla oli pääsy ydinmateriaaliin. AlienVault kirjoittaa, että Site Exposure Matrices -sivusto, joka tarjoaa tietoja työntekijöiden korvauksista myrkyllisille aineille altistumisesta, oli mukana.
Williams kirjoitti: "Vierailijat tietyille sivuille, jotka ylläpitävät ydinalaan liittyvää sisältöä työministeriön verkkosivustolla, saivat myös haitallista sisältöä, joka oli ladattu verkkotunnuksesta dol.ns01.us." Kyseinen DoL-sivusto on sittemmin korjattu.
Ole varovainen siellä
Microsoftin suosituksessa todetaan myös, että uhrit olisi houkutettava verkkosivustoon, jotta hyväksikäyttö olisi tehokasta. "Kaikissa tapauksissa hyökkääjällä ei olisi kuitenkaan mitään keinoa pakottaa käyttäjiä käymään näillä verkkosivustoilla", kirjoittaa Microsoft.
Koska on mahdollista, että kyseessä on kohdennettu hyökkäys, suurin osa käyttäjistä ei todennäköisesti kohtaa hyväksikäyttöä itse. Jos kuitenkin yksi hyökkääjäryhmä käyttää sitä, on todennäköistä, että myös muilla on pääsy uuteen hyväksikäyttöön. Kuten aina, valvo outoja linkkejä ja liian hyviä-totta tarjouksia. Aikaisemmin hyökkääjät ovat käyttäneet sosiaalisen tekniikan taktiikoita, kuten kaappaamalla Facebook-tilejä haitallisten linkkien levittämiseksi tai tehneet sähköpostia lähettämään perheenjäseniltä. On hyvä idea antaa jokaiselle linkille hajutesti.
Microsoft ei ole ilmoittanut, milloin tai miten hyväksikäyttö käsitellään.
