Video: Internet Explorer Starter Kit (1996) - Time Travel (Marraskuu 2024)
Hyökkääjät hyödyntävät Internet Explorerin vakavia haavoittuvuuksia juomareikähyökkäyksessä, turvallisuusyrityksen FireEye tutkijat varoittivat. Tartunnan saaneille verkkosivustoille huijattuihin käyttäjiin kohdistuu haittaohjelmia, jotka saastuttavat tietokoneen muistin klassisessa ohjaushyökkäyksessä.
Hyökkääjät ovat saaneet haitallisen koodin, joka hyödyntää vähintään kaksi Internet Explorerin nollapäivän virhettä, "strategisesti tärkeäksi verkkosivustoksi, jonka tiedetään vetävän kävijöitä, jotka ovat todennäköisesti kiinnostuneita kansallisesta ja kansainvälisestä turvallisuuspolitiikasta", FireEye sanoi viime viikolla antamassaan analyysissä. FireEye ei tunnistanut sivustoa sen lisäksi, että se sijaitsi Yhdysvalloissa.
"Hyödyntäjä hyödyntää uutta tiedonvuotoheikkoutta ja IE: n ulkopuolista muistin käyttöoikeutta koodin suorittamiseksi", FireEye-tutkijat kirjoittivat. "Se on yksi haavoittuvuus, jota hyödynnetään monin eri tavoin."
Haavoittuvuuksia on Internet Explorer 7, 8, 9 ja 10: ssä, joissa on Windows XP tai Windows 7. Vaikka nykyinen hyökkäys kohdistuu Internet Explorer 7: n ja 8: n englanninkieliseen versioon, joka toimii sekä Windows XP: ssä että Windows 8: ssa, hyväksikäyttö voi voidaan muuttaa kohdistamaan muihin versioihin ja kieliin, FireEye kertoi.
Epätavallisen hienostunut APT
FireEye kertoi, että tässä edistyneessä jatkuvan uhan (APT) kampanjassa käytetään samoja komento- ja hallintapalvelimia kuin mitä aiemmissa APT-hyökkäyksissä käytettiin Japanin ja Kiinan kohteita vastaan, nimeltään Operation ViceDog. Tämä APT on epätavallisen hienostunut, koska se jakaa haitallisen hyötykuorman, joka toimii vain tietokoneen muistissa, FireEye löysi. Koska se ei kirjoita itse levylle, on paljon vaikeampaa havaita tai löytää rikosteknisiä todisteita tartunnan saaneista koneista.
"Hyödyntämällä strategisia web-kompromisseja yhdessä muistissa olevan hyötykuorman toimitustaktiikan ja monien sisäkkäisten hämärtämismenetelmien kanssa, tämä kampanja on osoittautunut poikkeuksellisen onnistuneeksi ja vaikeasti toteutettavaksi", FireEye sanoi.
Koska levytön haittaohjelma on kuitenkin kokonaan muistissa, yksinkertainen koneen käynnistäminen näyttää poistavan tartunnan. Hyökkääjät eivät näytä olevan huolestuneita pysyvyydestään, mikä viittaa siihen, että hyökkääjät ovat "varmoja siitä, että heidän suunnittelemansa kohteet vain käyvät uudelleen vaarannetussa verkkosivustossa ja että ne saadaan uudelleen tartunnan saaneiksi", FireEye-tutkijat kirjoittivat.
Se tarkoittaa myös, että hyökkääjät liikkuvat erittäin nopeasti, koska heidän on liikuttava verkon kautta päästäkseen muihin kohteisiin tai löytääkseen jäljellä olevat tiedot, ennen kuin käyttäjä käynnistää koneen uudelleen ja poistaa tartunnan. "Kun hyökkääjä saapuu sisään ja laajentaa etuoikeuksiaan, he voivat käyttää monia muita menetelmiä pysyvyyden luomiseksi", kertoi Tripwiren turvallisuustutkija Ken Westin.
Turvallisuusyrityksen Triumfantin tutkijat ovat väittäneet levyttömän haittaohjelman määrän lisääntyneen ja viittasi näihin hyökkäyksiin nimeltä Advanced Volatile Threats (AVT).
Ei liity Office Flaw -sovellukseen
Viime viikko Internet Explorerin nollapäivän haavoittuvuus on Microsoft Office -yrityksen kriittisen puutteen kanta, joka myös ilmoitettiin viime viikolla. Virhe siinä, kuinka Microsoft Windows ja Office käyttävät TIFF-kuvia, ei liity tähän Internet Explorer-virheeseen. Vaikka hyökkääjät käyttävät jo Office-vikaa, suurin osa kohteista on tällä hetkellä Lähi-idässä ja Aasiassa. Käyttäjiä kehotetaan asentamaan FixIt, joka rajoittaa tietokoneen kykyä avata grafiikkaa odottaen pysyvää korjausta.
FireEye on ilmoittanut Microsoftille haavoittuvuudesta, mutta Microsoft ei ole vielä kommentoinut virhettä julkisesti. On erittäin epätodennäköistä, että tämä virhe korjataan ajoissa huomenna tapahtuvaan Patch Tiistai -julkaisuun.
Microsoft EMET -sovelluksen viimeisin versio, Enhanced Mitigation Experience Toolkit, estää onnistuneesti sekä Office-haavoittuvuuksiin kohdistuvat hyökkäykset. Organisaatioiden tulisi harkita EMET: n asentamista. Käyttäjät voivat myös harkita päivittämistä Internet Explorerin versioon 11 tai käyttää muita selaimia kuin Internet Explorer, kunnes virhe on korjattu.
XP-numerot
Tämä viimeisin kasteluaukkokampanja korostaa myös sitä, kuinka hyökkääjät ovat kohdistaneet Windows XP -käyttäjiä. Microsoft on toistuvasti muistuttanut käyttäjiä, että se lopettaa Windows XP: n tietoturvapäivitysten tarjoamisen huhtikuun 2014 jälkeen, ja käyttäjien tulee päivittää käyttöjärjestelmän uudempiin versioihin. Turvallisuustutkijoiden mielestä monet hyökkääjät istuvat XP-haavoittuvuuksien välimuiskeilla ja uskovat, että Windows XP: tä vastaan kohdistuu hyökkäyksiä, kun Microsoft lopettaa ikääntyvän käyttöjärjestelmän tuen.
"Älä viivytä - päivitä Windows XP: stä johonkin muuhun niin pian kuin mahdollista, jos arvostat tietosuojaasi", riippumaton tietoturvatutkija Graham Cluley kirjoitti blogissaan.