Video: Internet Explorer 8 в Windows 7 - «Умная адресная строка» (33/52) (September 2024)
I slutet av april upptäckte säkerhetsforskare ett utnyttjande i Internet Explorer 8 som gjorde det möjligt för angripare att köra skadlig kod på offrets dator. Det mest oroande är att utnyttjandet har funnits i naturen på en amerikansk arbetsdepartementets webbplats (DoL), eventuellt riktad till arbetare med tillgång till kärnkraft eller andra giftiga material. I helgen bekräftade Microsoft att utnyttjandet var en ny nolldag i IE 8.
Exploiten
Microsoft publicerade en säkerhetsrådgivning på fredagen som bekräftade utnyttjandet i Internet Explorer 8 CVE-2013-1347 och noterade att versionerna 6, 7, 9 och 10 inte påverkades.
"Detta är en sårbarhet för exekvering av kodkodning", skrev Microsoft. "Sårbarheten finns på det sätt som Internet Explorer får åtkomst till ett objekt i minnet som har raderats eller inte har tilldelats ordentligt. Sårbarheten kan skada minnet på ett sätt som kan göra det möjligt för en angripare att köra godtycklig kod i den aktuella användarens sammanhang inom Internet Explorer."
"En angripare kan vara värd för en speciellt utformad webbplats som är utformad för att utnyttja denna sårbarhet genom Internet Explorer och sedan övertyga en användare att visa webbplatsen, " skriver Microsoft. Tyvärr verkar detta ha hänt.
I det vilda
Utnyttjandet märktes först i slutet av april av säkerhetsföretaget Invincea. De noterade att DoL-webbplatsen tycktes leda besökare till en annan webbplats där en variant av Poison Ivy Trojan installerades på offerets enhet.
AlienVault Labs skrev att medan skadlig programvara utförde ett antal aktiviteter, skannade också offrets dator för att avgöra vad, om något, anit-virus var närvarande. Enligt AlienVault kontrollerade skadlig programvara bland annat programvaran Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure och Kasperky.
På Cisco-bloggen, skriver Craig Williams, "denna information kommer sannolikt att användas för att underlätta och säkerställa framtida attackers framgång."
Även om det är svårt att säga vilka motivationer som ligger bakom DoL-attacken verkar exploaten ha använts med vissa mål i åtanke. Williams kallade det ett "vattningshål" -attack, där en populär webbplats modifieras för att infektera inkommande besökare - liknande attacken mot utvecklare som vi såg tidigare i år.
Medan DoL var det första steget i attacken, verkar det som om de faktiska målen var vid energidepartementet - särskilt anställda med tillgång till kärnmaterial. AlienVault skriver att webbplatsen Exposition Matrices webbplats som innehåller information om anställdas ersättning för exponering för giftiga material var inblandad.
Williams skrev: "Besökare på specifika sidor som är värd för kärnrelaterat innehåll på webbplatsen för Department of Labor fick också skadligt innehåll laddat från domänen dol.ns01.us." Sedan har DoL-webbplatsen reparerats.
Var försiktig där ute
Microsofts rådgivande noterar också att offer måste lockas till en webbplats för att utnyttjandet ska vara effektivt. "I alla fall skulle dock en angripare inte ha något sätt att tvinga användare att besöka dessa webbplatser, " skriver Microsoft.
Eftersom det är möjligt att detta är en riktad attack kommer de flesta användare förmodligen inte att möta exploateringen själva. Men om den används av en grupp angripare är det troligt att andra också har tillgång till den nya exploaten. Som alltid, se upp för konstiga länkar och alltför bra-att-vara-sanna erbjudanden. Tidigare har angripare använt socialteknik som kapning av Facebook-konton för att sprida skadliga länkar, eller få e-postmeddelanden tycks komma från familjemedlemmar. Det är en bra idé att ge varje länk ett sniff-test.
Microsoft har inte meddelat när eller hur utnyttjandet kommer att tas upp.
