Видео: Exploit Internet Explorer 8 on win 7 (Септември 2024)
Изследователи от Exodus Intelligence съобщиха, че успяха да заобиколят решението Fix-It, което Microsoft пусна в понеделник за най-новата уязвимост за нулев ден в Internet Explorer.
Докато Fix-It блокира точния път на атака, използван при атаката срещу уебсайта на Съвета по външни отношения, изследователите успяха да „заобиколят поправката и да компрометират напълно закърнена система с разновидност на експлоатацията“, според публикацията в петък на блогът Exodus.
Microsoft е била информирана за новия експлоатация, според публикацията. Изследователите на изселването заявиха, че няма да разкрият никакви подробности за експлоатацията си, докато Microsoft не запечата дупката.
Fix-It е трябвало да бъде временно поправяне, докато компанията работи над пълния пластир, за да затвори актуализацията на сигурността. Microsoft не е казала кога ще бъде налична пълната актуализация до Internet Explorer и не се очаква тя да бъде включена в планираната версия на Patch Tuesday за следващата седмица.
Потребителите трябва да изтеглят и инсталират инструментариума на Enhanced Mitigation Experience 3.5 на Microsoft "като друг инструмент, който да помогне за защитата на вашите Windows системи от различни атаки", написа Гай Бруно от института на SANS в блога на Internet Storm Center. По-ранен пост в ISC демонстрира как EMET 3.5 може да блокира атаките, насочени към уязвимостта на IE.
Намерени са повече компрометирани сайтове
Изследователите на FireEye за първи път идентифицираха грешката с нулев ден, когато установиха, че уебсайтът на Съвета по външни отношения е компрометиран и предоставя злонамерени Flash файлове на нищо неподозиращи посетители. Оказва се, че редица други сайтове за политически, социални и човешки права в САЩ, Русия, Китай и Хонконг също са заразени и разпространяват злонамерен софтуер.
CFR атаката може да е започнала още на 7 декември, каза FireEye. Злоупотребите са използвали today.swf, злонамерен файл на Adobe Flash, за да започне атака срещу струпване срещу IE, която позволява на атакуващия да изпълнява дистанционно код на заразения компютър.
Изследователи от Avast заявиха, че два китайски сайта за правата на човека, сайтът на вестник в Хонконг и руски научен сайт са модифицирани, за да разпространяват Flash, използващ уязвимостта в Internet Explorer 8. Изследователят по сигурността Ерик Романг откри същата атака срещу производителя на енергийни микротурбини Capstone Turbine Corporation, както и на сайта, принадлежащ на китайската група дисиденти Uygur Haber Ajanski. Capstone Turbine може би е била заразена още на 17 декември.
Още през септември Capstone Turbine беше модифицирана, за да разпространява злонамерен софтуер, използвайки различна уязвимост за нулев ден, каза Романг.
„Потенциално момчетата зад CVE-2012-4969 и CVE-2012-4792 са еднакви“, написа Романг.
Изследователите на Symantec свързват последните атаки с групата Elderwood, която е използвала други недостатъци за нулев ден, за да започне подобни атаки в миналото. Групата използва повторно компоненти от платформата "Elderwood" и разпространява подобни Flash файлове на своите жертви, заяви Symantec. Злобният Flash файл, който зарази посетителите на Capston Turbine, имаше няколко прилики с Flash файла, използван преди това от бандата Elderwood при други атаки, заяви Symantec.
"Стана ясно, че групата, която стои зад проекта Elderwood, продължава да създава нови уязвимости за нулев ден за използване при атаки с поливни отвори и очакваме те да продължат да правят това през новата година", според Symantec.
