Видео: Internet Explorer Zero-Day Vulnerability Under Active Attack (Септември 2024)
Microsoft пусна "Fix It", адресиращ уязвимостта за нулев ден в по-старите версии на Internet Explorer, който беше използван за компрометиране на посетителите на уебсайта на Съвета по външни отношения миналия месец.
Уязвимостта от нулев ден е свързана с това как IE получава достъп до „обект n памет, която е изтрита или не е разпределена правилно“, заяви Microsoft в консултация по сигурността на 29 декември. Проблемът присъства в Internet Explorer 6, 7, и 8. По-новите IE 9 и 10 не са засегнати.
„Fix It“ не е постоянен кръпка, а просто временен механизъм, който може да се използва за защита на потребителите, докато пълната актуализация на защитата не е готова. Microsoft не разкри дали актуализацията ще е готова за януарския патч вторник, насрочен за 8 януари.
"В този момент е силно препоръчително да приложите Fix it, ако не можете да надстроите до Internet Explorer 9 или 10 или ако вече не сте приложили някое от обходните решения", написа Йоханес Улрих от технологичния институт на SANS в Интернет Storm Център блог.
Карай от изтегляне на атаки
Този недостатък на сигурността е особено опасен, тъй като нападателите могат да го използват в атака за изтегляне при изтегляне. Жертвите, които посещават уебсайта, затворен в буби, ще бъдат заразени, без да кликват или правят нещо на сайта.
Нападателите се подправят на уебсайта на Съвета по външни отношения, за да се възползват от този недостатък, съобщиха изследователи от FireEye миналата седмица. Посетителите на уебсайта на външнополитическия мозъчен тръст бяха заразени със зловреден софтуер Bifrose - заден прозорец, който позволява на нападателите да крадат файлове, съхранявани на компютъра.
Фактът, че сайтът на CFR е бил подправен, предполага, че целевите жертви са хора, които се интересуват от външната политика на САЩ, заяви пред SecurityWatch Алекс Хоран от CORE Security . "Получаването на контрол върху техните машини и възможността да прочетат всички техни местни документи би било съкровищница от информация", каза Хоран. Атаките с нулев ден са "скъпи" в смисъл, че са по-трудни за развитие, така че целта трябва да си струва усилията, каза той.
В момента жертвите са съсредоточени в Северна Америка, което предполага целенасочена кампания за атака, се казва в блога си Symantec Security Response.
Зловредният код послужи за експлоатацията на браузърите, чийто език на операционната система беше английски (САЩ), китайски (Китай), китайски (Тайван), японски, корейски или руски, пише Дариен Киндлунд от FireEye.
CFR може да е бил заразен още на 7 декември, заяви Честър Вишневски, старши съветник по сигурността в Sophos. Най-малко пет допълнителни уебсайта са били подправени, „предполагайки, че нападението е по-широко разпространено, отколкото се смяташе първоначално“, но изглежда няма очевидна връзка между жертвите, каза Вишневски.
Не е необичайно да видите атаки около празничния сезон, заяви пред SecurityWatch Ziv Mador, директор на изследванията за сигурност в Trustwave. "Това се случва, защото реакцията на доставчици на сигурност, от доставчика на софтуер и от ИТ екипа на засегнатата организация може да е по-бавна от обикновено", каза Мадор.
Поправете го и преодоляйте
Потребителите, които не могат да надстроят до IE 9 или 10 или не могат да приложат Fix It, трябва да използват алтернативен уеб браузър, докато не е налице пълният пластир. Microsoft също препоръча на потребителите да имат защитна стена и да се уверят, че всички софтуерни продукти и продукти за сигурност са напълно закърнени и актуализирани. Тъй като тази атака използва Java и Flash, Jamie Blasco на AlienVault препоръча да се избягва софтуер за трети страни в браузъра.
Въпреки че Fix Лесно се прилага и не изисква рестартиране, това ще „има малък ефект върху времето за стартиране на Internet Explorer“, написа в блога на MSRC Кристиан Крайовеану, член на екипа на MSRC Engineering. Когато окончателният пластир най-накрая стане налице, потребителите трябва да деинсталират решението, за да ускорят отново времето за стартиране на браузъра.
Тази атака беше „поредното трогателно напомняне“, че работата в компютъра като неадминистративен потребител може да се изплати в тези ситуации, каза Вишневски. Това, че е непривилегирован потребител, означава, че нападателите са ограничени в размера на щетите, които могат да причинят.
За повече информация от Fahmida, следвайте я в Twitter @zdFYRashid.
