Koti Securitywatch Tutkijat ohittavat microsoft-korjauksen nollapäivään

Tutkijat ohittavat microsoft-korjauksen nollapäivään

Video: The Midnight Chase | Critical Role: THE MIGHTY NEIN | Episode 3 (Marraskuu 2024)

Video: The Midnight Chase | Critical Role: THE MIGHTY NEIN | Episode 3 (Marraskuu 2024)
Anonim

Exodus Intelligencen tutkijat kertoivat pystyvänsä ohittamaan Fix-It-kiertotavan, jonka Microsoft oli julkaissut maanantaina viimeisimmän nollapäivän Internet Explorerin haavoittuvuuden vuoksi.

Vaikka Fix-It esti tarkan hyökkäyspolun, jota käytettiin neuvostoon kohdistuvassa hyökkäyksessä ulkosuhteiden verkkosivustolla, tutkijat pystyivät "ohittamaan korjauksen ja vaarantamaan täysin patched-järjestelmän, jolla on hyödynnettävyyden variaatio", perjantaina lähetetyn viestin mukaan. Exodus-blogi.

Viestin mukaan Microsoftille on ilmoitettu uudesta hyväksikäytöstä. Exoduksen tutkijat sanoivat, että he eivät paljasta mitään yksityiskohtia niiden hyväksikäytöstä, ennen kuin Microsoft korjaa reikän.

Korjaus-sen oli tarkoitus olla väliaikainen korjaus, kun yritys työskenteli koko korjaustiedoston päällä sulkeaksesi tietoturvapäivityksen. Microsoft ei ole ilmoittanut, milloin Internet Explorerin täydellinen päivitys olisi saatavana, eikä sen odoteta sisältyvän ensi viikon suunniteltuun Patch Tiistai -julkaisuun.

Käyttäjien olisi ladattava ja asennettava Microsoftin Enhanced Mitigation Experience 3.5 -työkalupaketti "toisena työkaluna, joka auttaa suojaamaan Windows-järjestelmiäsi useilta hyökkäyksiltä", SANS-instituutin Guy Bruneau kirjoitti Internet Storm Center -blogissa. Aikaisempi ISC-viesti oli osoittanut, kuinka EMET 3.5 voi estää hyökkäyksiä, jotka kohdistuvat IE-haavoittuvuuteen.

Lisää vaarannettuja sivustoja löytyi

FireEye-tutkijat havaitsivat nollapäivän virheen, kun he huomasivat, että Ulkosuhteet-neuvoston verkkosivustolla oli vaarannettu ja palveli haitallisia Flash-tiedostoja epäilyttäville vierailijoille. On käynyt ilmi, että myös monet muut poliittiset, sosiaaliset ja ihmisoikeussivustot Yhdysvalloissa, Venäjällä, Kiinassa ja Hongkongissa ovat saaneet tartunnan ja levittävät haittaohjelmia.

CFR-hyökkäys on saattanut alkaa jo 7. joulukuuta, FireEye sanoi. Hyökkääjät käyttivät tänään.swf-tiedostoa, haitallista Adobe Flash-tiedostoa, kase-suihkehyökkäyksen käynnistämiseen IE: tä vastaan, mikä antoi hyökkääjälle mahdollisuuden suorittaa koodin etäkäytön tartunnan saaneessa tietokoneessa.

Avast-tutkijoiden mukaan kahta kiinalaista ihmisoikeussivustoa, Hongkongin sanomalehteä ja venäläistä tiedesivustoa on muokattu jakamaan Flash Explorer, joka hyödyntää Internet Explorer 8: n haavoittuvuutta. Turvallisuustutkija Eric Romang löysi saman hyökkäyksen energiamikroturbiinien valmistajan Capstone Turbine Corporationin verkkosivustolle. sekä kiinalaiselle toisinajattelijaryhmälle Uygur Haber Ajanskille kuuluvalla sivustolla. Capstone Turbiini on saattanut tartunnan jo 17. joulukuuta.

Vuoden syyskuussa Capstone Turbine -laitetta oli muokattu levittämään haittaohjelmia, jotka hyödyntävät erilaista nollapäivän haavoittuvuutta, Romang sanoi.

"Mahdollisesti CVE-2012-4969 ja CVE-2012-4792 takana olevat kaverit ovat samat", Romang kirjoitti.

Symantecin tutkijat ovat yhdistäneet viimeisimmät hyökkäykset Elderwood-ryhmään, joka on käyttänyt muita nollapäivän virheitä aloittaakseen vastaavia hyökkäyksiä aiemmin. Ryhmä käytti komponentteja uudelleen "Elderwood" -alustalta ja jakoi vastaavat Flash-tiedostot uhreilleen, Symantec kertoi. Haitallisella Flash-tiedostolla, joka tartutti Capston Turbinen vierailijoita, oli useita samankaltaisuuksia Flash-tiedoston kanssa, jota Elderwood-jengi oli aiemmin käyttänyt muissa hyökkäyksissä, Symantec sanoi.

"On käynyt selväksi, että Elderwood-projektin takana oleva ryhmä tuottaa edelleen uusia nollapäivien haavoittuvuuksia, joita voidaan käyttää kasteluaukkohyökkäyksissä, ja odotamme heidän jatkavan niin myös uudella vuonna", Symantecin mukaan.

Tutkijat ohittavat microsoft-korjauksen nollapäivään