Video: Internet Explorer Zero-Day Vulnerability Under Active Attack (Oktober 2024)
Microsoft frigav en "Fix It", der adresserede en nul-dages sårbarhed i ældre versioner af Internet Explorer, der blev brugt til at kompromittere besøgende på webstedet Council on Foreign Relations i sidste måned.
Nul-dages sårbarhed er relateret til, hvordan IE får adgang til "et objekt n hukommelse, der er blevet slettet eller ikke er blevet korrekt tildelt, " sagde Microsoft i en sikkerhedsanvisning 29. december. Problemet er til stede i Internet Explorer 6, 7, og 8. Den nyere IE 9 og 10 påvirkes ikke.
"Fix It" er ikke en permanent patch, men bare en midlertidig mekanisme, der kan bruges til at beskytte brugere, indtil den fulde sikkerhedsopdatering er klar. Microsoft har ikke oplyst, om opdateringen er klar til januar's Patch tirsdag, der er planlagt til 8. januar.
"På dette tidspunkt anbefales det stærkt at anvende Fix it, hvis du ikke kan opgradere til Internet Explorer 9 eller 10, eller hvis du ikke allerede har anvendt et af de løsninger, " skrev SANS Technology Institute's Johannes Ullrich på Internet Storm Centerblog.
Drive By Download Attacks
Denne sikkerhedsfejl er især farlig, fordi angribere kan udnytte den i et drive-by download-angreb. Ofre, der besøger det booby-fangede websted, vil blive inficeret uden at klikke eller gøre noget på webstedet.
Angribere manipulerede med webstedet Council on Foreign Relations for at udnytte denne fejl, rapporterede forskere ved FireEye i sidste uge. Besøgende på den udenrigspolitiske tænketankens websted blev inficeret med Bifrose-malware, en bagdør, der giver angribere mulighed for at stjæle filer, der er gemt på computeren.
At CFRs side blev manipuleret med implicerer de målrettede ofre er mennesker, der er interesseret i USAs udenrigspolitik, fortalte Alex Horan fra CORE Security til SecurityWatch . ”At få kontrol over deres maskiner og være i stand til at læse alle deres lokale dokumenter ville være en skattekiste af information, ” sagde Horan. Nul-dages angreb er "dyre" i den forstand, at de er sværere at udvikle, så dette mål skal være værd at gøre, sagde han.
Ofre er i øjeblikket koncentreret i Nordamerika, hvilket antyder en målrettet angrebskampagne, siger Symantec Security Response i sin blog.
Den ondsindede kode tjente udnyttelsen til browsere, hvis operativsystemsprog enten var engelsk (USA), kinesisk (Kina), kinesisk (Taiwan), japansk, koreansk eller russisk, skrev FireEyes Darien Kindlund.
CFR kan have været inficeret så langt tilbage som 7. december, sagde Chester Wisniewski, senior sikkerhedsrådgiver hos Sophos. Mindst fem yderligere websteder er blevet manipuleret med, "som antyder, at angrebet er mere udbredt end oprindeligt antaget, " men der ser ud til at være nogen åbenlyse forbindelse mellem ofrene, sagde Wisniewski.
Det er ikke usædvanligt at se angreb omkring feriesæsonen, fortalte Ziv Mador, direktør for sikkerhedsundersøgelser hos Trustwave, til SecurityWatch . ”Det sker, fordi sikkerhedsleverandørernes reaktion, softwareleverandøren og IT-teamet i den berørte organisation muligvis er langsommere end normalt, ” sagde Mador.
Fix It and Workarounds
Brugere, der ikke kan opgradere til IE 9 eller 10 eller ikke kan anvende Fix It, skal bruge en alternativ webbrowser, indtil den fulde opdatering er tilgængelig. Microsoft anbefalede også, at brugerne har en firewall på plads og sørger for, at al software og sikkerhedsprodukter er fuldt opdateret og opdateret. Da dette angreb bruger Java og Flash, anbefalede AlienVault Jamie Blasco at undgå tredjepartssoftware i browseren i øjeblikket.
Mens Fix Det er let at anvende og ikke kræver en genstart, vil det "have en lille effekt på opstarttiden for Internet Explorer, " skrev Cristian Craioveanu, et medlem af MSRC Engineering-teamet på MSRC-bloggen. Når den endelige patch endelig bliver tilgængelig, skal brugerne afinstallere løsningen for at fremskynde browserens opstartstid igen.
Dette angreb var "en anden gripende påmindelse" om, at det at arbejde på computeren som en ikke-administrativ bruger kan betale sig i disse situationer, sagde Wisniewski. At være en ikke-privilegeret bruger betyder, at angriberen er begrænset i mængden af skade, de kan forårsage.
For mere fra Fahmida, følg hende på Twitter @zdFYRashid.
