Video: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (Oktober 2024)
Forskere ved Exodus Intelligence rapporterede at kunne omgå Fix-It-løsningen Microsoft havde frigivet mandag for den seneste nul-dages sårbarhed i Internet Explorer.
Mens Fix-It blokerede den nøjagtige angrebsveje, der blev brugt i angrebet mod Council on Foreign Relations-webstedet, var forskerne i stand til at "omgå fixen og kompromittere et fuldt opdateret system med en variation af udnyttelsen", ifølge fredagens indlæg om Exodus-bloggen.
Microsoft er blevet informeret om den nye udnyttelse ifølge indlægget. Eksodusforskere sagde, at de ikke ville afsløre nogen detaljer om deres udnyttelse, før Microsoft lapper hullet.
Fix-It var beregnet til at være en midlertidig løsning, mens virksomheden arbejdede på den fulde patch for at lukke sikkerhedsopdateringen. Microsoft har ikke sagt, hvornår den fulde opdatering til Internet Explorer ville være tilgængelig, og det forventes ikke at blive inkluderet i næste uges planlagte frigivelse af Patch Tuesday.
Brugere bør downloade og installere Microsofts værktøjskasse Enhanced Mitigation Experience 3.5 "som et andet værktøj til at forsvare dine Windows-systemer mod forskellige angreb, " skrev SANS Institutt Guy Bruneau på bloggen Internet Storm Center. Et tidligere ISC-indlæg havde demonstreret, hvordan EMET 3.5 kunne blokere angreb, der er målrettet mod IE-sårbarheden.
Flere kompromitterede websteder blev fundet
FireEye-forskere identificerede først nul-dages fejl, da de fandt, at Council on Foreign Relations-webstedet var blevet kompromitteret og serverede ondsindede Flash-filer til intetanende besøgende. Det viser sig, at en række andre politiske, sociale og menneskerettighedssteder i USA, Rusland, Kina og Hong Kong også er blevet inficeret og distribuerede malware.
CFR-angrebet kan være begyndt allerede den 7. december, sagde FireEye. Angribere brugte Today.swf, en ondsindet Adobe Flash-fil, til at iværksætte et heap spray-angreb mod IE, der gjorde det muligt for angriberen eksternt at udføre kode på den inficerede computer.
Avast-forskere sagde, at to kinesiske menneskerettighedswebsteder, et avissted i Hong Kong og et russisk videnskabssite var blevet ændret for at distribuere en Flash, der udnyttede sårbarheden i Internet Explorer 8. Sikkerhedsforsker Eric Romang fandt det samme angreb på energimikroturbinproducent Capstone Turbine Corporation's websted, samt på webstedet, der tilhører den kinesiske dissidentgruppe Uygur Haber Ajanski. Capstone-turbine kan have været inficeret så langt tilbage som den 17. december.
Tilbage i september var Capstone Turbine blevet ændret for at distribuere malware, der udnytter en anden nul-dages sårbarhed, sagde Romang.
”Potentielt er fyrene bag CVE-2012-4969 og CVE-2012-4792 de samme, ” skrev Romang.
Symantec-forskere har knyttet de seneste angreb til Elderwood-gruppen, der har brugt andre fejl på nul dage til at iværksætte lignende angreb i fortiden. Gruppen genanvendte komponenter fra "Elderwood" -platformen og distribuerede lignende Flash-filer til dens ofre, sagde Symantec. Den ondsindede Flash-fil, som inficerede Capston Turbine-besøgende, havde adskillige ligheder med den Flash-fil, som Elderwood-banden tidligere havde brugt i andre angreb, sagde Symantec.
"Det er blevet klart, at gruppen bag Elderwood-projektet fortsætter med at producere nye nul-dages sårbarheder til brug i vandhulangreb, og vi forventer, at de fortsætter med at gøre det i det nye år, " ifølge Symantec.
