Видео: IE is Being Mean to Me (Ноември 2024)
В края на април изследователите по сигурността откриха експлоатация в Internet Explorer 8, която позволи на нападателите да изпълняват злонамерен код на компютъра на жертвата. Най-тревожно е, че експлоатацията е открита в природата на уебсайта на Министерството на труда на САЩ (DoL), вероятно насочена към работници с достъп до ядрени или други токсични материали. Този уикенд Microsoft потвърди, че експлоатацията е нов нулев ден в IE 8.
Подвигът
Microsoft издаде съвет в областта на сигурността в петък, потвърждаващ експлоатацията в Internet Explorer 8 CVE-2013-1347, отбелязвайки, че версии 6, 7, 9 и 10 не са засегнати.
„Това е отдалечена уязвимост при изпълнение на код“, пише Microsoft. „Уязвимостта съществува по начина, по който Internet Explorer осъществява достъп до обект в паметта, която е изтрита или не е разпределена правилно. Уязвимостта може да повреди паметта по начин, който може да позволи на атакуващия да изпълни произволен код в контекста на текущия потребител в Internet Explorer."
„Един атакуващ може да бъде домакин на специално изработен уебсайт, който е предназначен да използва тази уязвимост чрез Internet Explorer и след това да убеди потребителя да прегледа уебсайта“, пише Microsoft. За съжаление, изглежда, това вече се е случило.
В дивата природа
Експлоатацията е забелязана за първи път в края на април от охранителната компания Invincea. Те отбелязаха, че уебсайтът на DoL изглежда пренасочва посетителите към друг уебсайт, където на устройството на жертвата е инсталиран вариант на Trojan Ivy Trojan.
AlienVault Labs пише, че макар злонамереният софтуер да извършва редица дейности, той също сканира компютъра на жертвата, за да определи какво, ако има такъв, е налице антит-вирус. Според AlienVault, зловредният софтуер проверява наличността на Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure и Kasperky.
В блога на Cisco, Крейг Уилямс пише, „тази информация вероятно ще бъде използвана за улесняване и гарантиране на успеха на бъдещите атаки“.
Макар че е трудно да се каже какви са мотивациите зад DoL атаката, експлоатацията изглежда е разгърнат с някои цели в ума. Уилямс го нарече "атака за напояване", където популярен уебсайт е модифициран, за да зарази идващите посетители - подобно на атаката срещу разработчици, която видяхме по-рано тази година.
Докато ДОЛ беше първата стъпка в атаката, изглежда възможно действителните цели да са били в Министерството на енергетиката - конкретно служители с достъп до ядрен материал. AlienVault пише, че е участвал уебсайтът за излагане на матрици на сайта, който съдържа информация за компенсация на служителите за излагане на токсични материали.
Уилямс пише: „Посетителите на конкретни страници, хостващи ядрено съдържание на уебсайта на Министерството на труда, също получават злонамерено съдържание, заредено от домейна dol.ns01.us.“ Въпросният сайт DoL оттогава е ремонтиран.
Бъдете внимателни там
Съвещанието на Microsoft също така отбелязва, че жертвите трябва да бъдат примамвани на уебсайт, за да бъде експлоатацията ефективна. „Във всички случаи обаче нападател няма да има начин да принуди потребителите да посещават тези уебсайтове“, пише Microsoft.
Тъй като е възможно това да е целенасочена атака, повечето потребители вероятно сами няма да срещнат експлоатацията. Ако обаче се използва от една група нападатели, вероятно и други имат достъп до новата експлоатация. Както винаги, внимавайте за странни връзки и твърде добри оферти, за да бъдат верни. В миналото нападателите са използвали тактика на социалното инженерство като отвличане на акаунти във Facebook, за да разпространяват злонамерени връзки или да правят съобщения, че пристигат имейли от членове на семейството. Добра идея е да дадете на всяка връзка връзка с теста за смъркане.
Microsoft не е обявила кога или как ще бъде адресиран експлоатацията.