Видео: 🅳🅸🆂🅲🅾🆅🅴🆁🆈 🅲🅷🅰🅽🅽🅴🅻 👍 🅸🅼🅿🆁🅴🆂🅸🅾🅽🅰🅽🆃🅴 🅳🅾🅲🆄🅼🅴🅽🆃🅰🅻,🅳🅾🅲🆄🅼🅴🅽🆃🅰🅻🅴🆂 🅲🅾🅼🅿🅻🅴🆃🅾🆂 🅴🅽 🅴🆂🅿🅰Ñ🅾🅻,🅽🅰🆃🅸🅾🅽🅰🅻 🅶🅴🅾🅶🆁🅰🅿🅷🅸🅲 (Ноември 2024)
Атакуващите използват сериозни уязвимости в Internet Explorer при атака с отвори за поливане, предупредиха изследователи от охранителната фирма FireEye. Потребителите, подмамени да получат достъп до заразения уебсайт, са удряни със злонамерен софтуер, който заразява паметта на компютъра при класическа атака при шофиране.
Нападателите са вградили зловредния код, който използва поне два грешки с нулев ден в Internet Explorer, в „стратегически важен уебсайт, известен за привличане на посетители, които вероятно се интересуват от националната и международната политика за сигурност“, заяви FireEye в анализа си миналата седмица. FireEye не идентифицира сайта извън факта, че е базиран в Съединените щати.
"Експлоатацията използва нова уязвимост на изтичане на информация и уязвимост на IE извън границите на паметта за постигане на изпълнение на код", пишат изследователите на FireEye. "Това е една уязвимост, която се експлоатира по различни различни начини."
Уязвимостите присъстват в Internet Explorer 7, 8, 9 и 10, работещи под Windows XP или Windows 7. Докато текущата атака е насочена към английската версия на Internet Explorer 7 и 8, работеща както на Windows XP, така и на Windows 8, експлоатацията може да да бъде променен, за да се насочи към други версии и езици, каза FireEye.
Необичайно сложен APT
FireEye заяви, че тази напреднала постоянна заплаха (APT) кампания използва някои от същите сървъри за управление и управление като тези, използвани в предишните APT атаки срещу японски и китайски цели, известни като Operation заместник. Този APT е необичайно сложен, тъй като разпространява злонамерен полезен товар, който работи само в паметта на компютъра, откри FireEye. Тъй като не се записва на диск, е много по-трудно да се открие или да се намерят криминалистични доказателства на заразени машини.
"Използвайки стратегически уеб компромиси, заедно с тактиката за доставяне на полезен товар в паметта и множество вложени методи за обфуксация, тази кампания се оказа изключително изпълнена и неуловима", каза FireEye.
Тъй като зловредният софтуер без диск е напълно останал в паметта, изглежда просто рестартиране на машината, за да премахне инфекцията. Изглежда, че нападателите не се притесняват от това, че са настойчиви, предполагайки, че нападателите са „уверени, че техните целеви цели просто ще преразгледат компрометирания уебсайт и ще бъдат отново заразени“, пишат изследователи от FireEye.
Това също означава, че нападателите се движат много бързо, тъй като трябва да се придвижват през мрежата, за да достигнат до други цели или да намерят информацията, която търсят, преди потребителят да рестартира машината и да премахне инфекцията. "След като нападателят влезе и ескалира привилегии, той може да използва много други методи за установяване на постоянство", заяви Кен Уестин, изследовател по сигурността в Tripwire.
Учените от охранителната компания Triumfant твърдят, че има увеличение на зловреден софтуер без диск и наричат тези атаки като Advanced Volatile Threats (AVT).
Не е свързано с Office Flaw
Най-новата уязвимост на Internet Explorer с нулев ден идва по петите на критичен недостатък в Microsoft Office, съобщаван и миналата седмица. Недостатъкът в начина, по който Microsoft Windows и Office имат достъп до TIFF изображенията, няма връзка с тази грешка в Internet Explorer. Докато нападателите вече експлоатират грешката в Office, повечето от целите в момента са в Близкия Изток и Азия. Потребителите се насърчават да инсталират FixIt, което ограничава възможността на компютъра да отваря графики, докато чака постоянен пластир.
FireEye уведоми Microsoft за уязвимостта, но Microsoft все още не е коментирал публично недостатъка. Изключително е малко вероятно тази грешка да бъде адресирана навреме за утрешното издание на Patch Tuesday.
Най-новата версия на Microsoft EMET, инструмента за подобряване на смекчаващия опит, успешно блокира атаките, насочени към уязвимостите на IE, както и към Office. Организациите трябва да обмислят инсталирането на EMET. Потребителите могат също да обмислят надграждане до версия 11 на Internet Explorer или да използват браузъри, различни от Internet Explorer, докато грешката не бъде отстранена.
Проблеми с XP
Тази последна кампания за поливане на отвори също подчертава как нападателите са насочени към потребителите на Windows XP. Microsoft многократно напомня на потребителите, че след април 2014 г. ще спре да предоставя актуализации за сигурност за Windows XP и потребителите трябва да надстроят до по-нови версии на операционната система. Изследователите по сигурността смятат, че много нападатели седят на кеш на уязвимости на XP и вярват, че ще има вълна от атаки, насочени към Windows XP, след като Microsoft прекрати поддръжката на застаряващата операционна система.
"Не отлагайте - надстройте от Windows XP до нещо друго възможно най-скоро, ако цените сигурността си", написа Греъм Клули, независим изследовател по сигурността.