Video: Как заработать $ 90,00 в день с нулевыми деньгами на старт... (Oktober 2024)
Angribere udnytter alvorlige sårbarheder i Internet Explorer i et vandhulangreb, advarede forskere fra sikkerhedsfirmaet FireEye. Brugere, der bliver narret til at få adgang til det inficerede websted, bliver ramt af malware, der inficerer computerens hukommelse i et klassisk drive-by-angreb.
Angribere har indlejret den ondsindede kode, der udnytter mindst to nul-dages fejl i Internet Explorer til "et strategisk vigtigt websted, kendt for at trække besøgende, der sandsynligvis er interesseret i national og international sikkerhedspolitik, " sagde FireEye i sin analyse i sidste uge. FireEye identificerede ikke webstedet ud over det faktum, at det var baseret i USA.
"Udnyttelsen udnytter en ny sårbarhed om informationslækage og en IE uden for grænserne hukommelsesadgangssårbarhed for at opnå kodeudførelse, " skrev FireEye-forskere. "Det er en sårbarhed, der udnyttes på forskellige måder."
Sårbarhederne er til stede i Internet Explorer 7, 8, 9 og 10, der kører på Windows XP eller Windows 7. Mens det nuværende angreb er rettet mod den engelske version af Internet Explorer 7 og 8, der kører på både Windows XP og Windows 8, kunne udnyttelsen ændres til at målrette mod andre versioner og sprog, sagde FireEye.
Usædvanligt sofistikeret APT
FireEye sagde, at denne avancerede kampagne vedvarende trussel (APT) bruger nogle af de samme kommando- og kontrolservere som dem, der blev brugt i de tidligere APT-angreb mod japanske og kinesiske mål, kendt som Operation ViceDog. Denne APT er usædvanligt sofistikeret, fordi den distribuerer ondsindet nyttelast, der udelukkende kører i computerens hukommelse, fandt FireEye. Da den ikke skriver sig selv til disk, er det meget sværere at opdage eller finde retsmedicinske beviser på inficerede maskiner.
FireEye sagde, at "ved at bruge strategiske webkompromiser sammen med leveringstaktikker inden for hukommelse af nyttelast og flere indlejrede metodemetoder, har denne kampagne vist sig at være enestående gennemført og undvigende.
Da den diskløse malware dog er fuldstændig hjemmehørende i hukommelsen, ser det bare ud til at genstarte maskinen til at fjerne infektionen. Angribere ser ikke ud til at være bekymrede for at være vedvarende og antyder, at angriberen er "sikre på, at deres tilsigtede mål simpelthen ville revidere det kompromitterede websted og blive inficeret igen, " skrev FireEye-forskere.
Det betyder også, at angriberen bevæger sig meget hurtigt, da de er nødt til at bevæge sig gennem netværket for at nå andre mål eller finde de oplysninger, de er på, før brugeren genstarter maskinen og fjerner infektionen. "Når angriberen kommer ind og eskalerer privilegier, kan de implementere mange andre metoder til at etablere vedholdenhed, " sagde Ken Westin, en sikkerhedsforsker hos Tripwire.
Forskere ved sikkerhedsfirmaet Triumfant har hævdet en stigning i diskløs malware og henviser til disse angreb som Advanced Volatile Threats (AVT).
Ikke relateret til Office-fejl
Den seneste Internet Explorer-nul-dages sårbarhed kommer på hælen efter en kritisk fejl i Microsoft Office, der også blev rapporteret i sidste uge. Fejlen i, hvordan Microsoft Windows og Office får adgang til TIFF-billeder, er ikke forbundet med denne Internet Explorer-fejl. Mens angribere allerede udnytter Office-bugten, er de fleste af målene i øjeblikket i Mellemøsten og Asien. Brugere opfordres til at installere FixIt, som begrænser computerens evne til at åbne grafik, mens de venter på en permanent patch.
FireEye har underrettet Microsoft om sårbarheden, men Microsoft har endnu ikke kommenteret offentligt om fejlen. Det er utroligt usandsynligt, at denne fejl vil blive behandlet i tide til morgendagens Patch tirsdag frigivelse.
Den seneste version af Microsoft EMET, Enhanced Mitigation Experience Toolkit, blokerer med succes angrebene, der er målrettet mod IE-sårbarhederne samt Office-en. Organisationer bør overveje at installere EMET. Brugere kan også overveje at opgradere til version 11 af Internet Explorer eller bruge andre browsere end Internet Explorer, indtil fejlen er rettet.
XP-problemer
Denne seneste vandhulskampagne fremhæver også, hvordan angribere er målrettet mod Windows XP-brugere. Microsoft har gentagne gange mindet brugere om, at det vil stoppe med at levere sikkerhedsopdateringer til Windows XP efter april 2014, og brugerne bør opgradere til nyere versioner af operativsystemet. Sikkerhedsforskere mener, at mange angribere sidder på cacher af XP-sårbarheder og mener, at der vil være en bølge af angreb, der er rettet mod Windows XP, efter at Microsoft har afsluttet støtte til det aldrende operativsystem.
"Forsink ikke - opgrader fra Windows XP til noget andet så hurtigt som muligt, hvis du værdsætter din sikkerhed, " skrev Graham Cluley, en uafhængig sikkerhedsforsker, på sin blog.
