Video: Molly Sandén - Sand (September 2024)
Angripare utnyttjar allvarliga sårbarheter i Internet Explorer i en vattenhålattack, varnade forskare från säkerhetsföretaget FireEye. Användare som luras att komma åt den infekterade webbplatsen drabbas av skadlig programvara som infekterar datorns minne i en klassisk drive-by-attack.
Attacker har bädda in den skadliga koden som utnyttjar minst två nolldagars brister i Internet Explorer till "en strategiskt viktig webbplats, känd för att dra besökare som troligtvis är intresserade av nationell och internationell säkerhetspolitik, " sade FireEye i sin analys förra veckan. FireEye identifierade inte webbplatsen utöver det faktum att den var baserad i USA.
"Utnyttjandet utnyttjar en ny sårbarhet för informationsläckage och en sårbarhet för åtkomst av minnesåtkomst för IE för att uppnå kodutförande, " skrev FireEye-forskare. "Det är en sårbarhet som utnyttjas på olika sätt."
Sårbarheterna finns i Internet Explorer 7, 8, 9 och 10, som körs på Windows XP eller Windows 7. Medan den aktuella attacken riktar sig till den engelska versionen av Internet Explorer 7 och 8 som körs på både Windows XP och Windows 8, kan utnyttjandet ändras för att rikta in sig på andra versioner och språk, sade FireEye.
Ovanligt sofistikerad APT
FireEye sade att denna avancerade kampanj för kontinuerligt hot (APT) använder några av samma kommandot och kontrollserver som de som användes i de tidigare APT-attackerna mot japanska och kinesiska mål, känd som Operation ViceDog. Denna APT är ovanligt sofistikerad eftersom den distribuerar skadlig nyttolast som bara körs i datorns minne, fann FireEye. Eftersom det inte skriver sig själv till disk är det mycket svårare att upptäcka eller hitta rättsmedicinska bevis på infekterade maskiner.
"Genom att använda strategiska webkompromisser tillsammans med leverans taktik för minnet av nyttolast och flera kapslade metoder för dämpning har denna kampanj visat sig vara exceptionellt genomförd och svårfångad", sade FireEye.
Eftersom den disklösa skadliga programvaran är helt bosatt i minnet verkar det bara att starta om maskinen för att ta bort infektionen. Attacker verkar inte vara oroliga för att vara ihållande, vilket tyder på att angriparna är "säkra på att deras avsedda mål helt enkelt skulle gå igenom den komprometterade webbplatsen och infekteras på nytt", skrev FireEye-forskare.
Det betyder också att angriparna rör sig mycket snabbt, eftersom de måste flytta genom nätverket för att nå andra mål eller hitta informationen de är ute innan användaren startar om maskinen och tar bort infektionen. "När angriparen kommer in och eskalerar privilegierna kan de använda många andra metoder för att upprätta uthållighet", säger Ken Westin, en säkerhetsforskare på Tripwire.
Forskare vid säkerhetsföretaget Triumfant har hävdat en ökning av diskless skadlig programvara och hänvisar till dessa attacker som Advanced Volatile Threats (AVT).
Inte relaterat till Office-fel
Den senaste nolldagars sårbarheten i Internet Explorer kommer på hälarna av en kritisk brist i Microsoft Office som också rapporterades förra veckan. Felet i hur Microsoft Windows och Office får åtkomst till TIFF-bilder är inte relaterat till detta Internet Explorer-fel. Medan angripare redan utnyttjar Office-felet, finns de flesta målen för närvarande i Mellanöstern och Asien. Användare uppmuntras att installera FixIt, vilket begränsar datorns förmåga att öppna grafik, medan de väntar på en permanent korrigering.
FireEye har meddelat Microsoft om sårbarheten, men Microsoft har ännu inte kommenterat offentligt på bristen. Det är oerhört osannolikt att det här felet kommer att behandlas i tid för morgondagens Patch Tuesday release.
Den senaste versionen av Microsoft EMET, Enhanced Mitigation Experience Toolkit, blockerar framgångsrikt attackerna som är inriktade på IE-sårbarheterna samt Office en. Organisationer bör överväga att installera EMET. Användare kan också överväga att uppgradera till version 11 av Internet Explorer eller använda andra webbläsare än Internet Explorer tills felet har åtgärdats.
XP-problem
Denna senaste vattenhålskampanj belyser också hur angripare riktar sig till Windows XP-användare. Microsoft har upprepade gånger påmint användare att det kommer att sluta tillhandahålla säkerhetsuppdateringar för Windows XP efter april 2014, och användare bör uppgradera till nyare versioner av operativsystemet. Säkerhetsforskare tror att många angripare sitter i cacheminnen för XP-sårbarheter och tror att det kommer att finnas en våg av attacker riktade mot Windows XP efter att Microsoft har slutat stöd för det åldrande operativsystemet.
"Försena inte - uppgradera från Windows XP till något annat så snart som möjligt om du värdesätter din säkerhet, " skrev Graham Cluley, en oberoende säkerhetsforskare, på sin blogg.
