Video: Demonstrating CVE-2020-0688: A Remote Code Execution Bug in Microsoft Exchange (September 2024)
Forskare vid Exodus Intelligence rapporterade att de kunde kringgå Fix-It-lösningen som Microsoft hade släppt på måndag för den senaste nolldagars sårbarheten i Internet Explorer.
Medan Fix-It blockerade den exakta attackvägen som användes i attacken mot Council on Foreign Relations-webbplatsen, kunde forskare "kringgå fixen och kompromissa med ett fullständigt korrigerat system med en variation av utnyttjandet", enligt fredagens inlägg om Exodus-bloggen.
Microsoft har informerats om det nya utnyttjandet enligt inlägget. Exodus-forskare sa att de inte skulle avslöja några detaljer om deras utnyttjande förrän Microsoft lappar hålet.
Fix-It var tänkt att vara en tillfällig fix medan företaget arbetade på full patch för att stänga säkerhetsuppdateringen. Microsoft har inte sagt när den fullständiga uppdateringen till Internet Explorer skulle vara tillgänglig, och det förväntas inte vara med i nästa veckas planerade Patch Tuesday release.
Användare bör ladda ner och installera Microsofts verktygssats Enhanced Mitigation Experience 3.5 "som ett annat verktyg för att försvara dina Windows-system mot olika attacker", skrev SANS-institutets Guy Bruneau på Internet Storm Center-bloggen. Ett tidigare ISC-inlägg hade visat hur EMET 3.5 kunde blockera attacker riktade mot IE-sårbarheten.
Fler kompromissade webbplatser hittades
FireEye-forskare identifierade först nolldagens brist när de fann att webbplatsen Council on Foreign Relations hade äventyrats och serverade skadliga Flash-filer till intet ont om besökare. Det visar sig att ett antal andra politiska, sociala och mänskliga rättighetssajter i USA, Ryssland, Kina och Hong Kong också har smittats och distribuerat skadlig programvara.
CFR-attacken kan ha börjat redan den 7 december, sade FireEye. Angripare använde Today.swf, en skadlig Adobe Flash-fil, för att starta en högsprutattack mot IE som gjorde det möjligt för angriparen att fjärrköra koden på den infekterade datorn.
Avast-forskare sa att två kinesiska webbplatser för mänskliga rättigheter, en tidningssida i Hong Kong och en rysk vetenskapssida hade modifierats för att distribuera en Flash som utnyttjar sårbarheten i Internet Explorer 8. Säkerhetsforskaren Eric Romang fann samma attack på energimikroturbinproducenten Capstone Turbine Corporation: s webbplats, liksom på webbplatsen som tillhör den kinesiska dissidentgruppen Uygur Haber Ajanski. Capstone-turbinen kan ha smittats redan 17 december.
Tillbaka i september hade Capstone Turbine modifierats för att distribuera skadlig programvara som utnyttjar en annan nolldagars sårbarhet, sade Romang.
"Potentiellt är killarna bakom CVE-2012-4969 och CVE-2012-4792 desamma, " skrev Romang.
Symantec-forskare har kopplat de senaste attackerna till Elderwood-gruppen som har använt andra nolldagars brister för att starta liknande attacker tidigare. Gruppen återanvände komponenter från "Elderwood" -plattformen och distribuerade liknande Flash-filer till sina offer, sade Symantec. Den skadliga Flash-filen som infekterade Capston Turbine-besökare hade flera likheter med Flash-filen som tidigare använts av Elderwood-gänget i andra attacker, säger Symantec.
"Det har blivit tydligt att gruppen bakom Elderwood-projektet fortsätter att producera nya nolldagars sårbarheter för användning i vattenhålattacker och vi förväntar oss att de fortsätter att göra det under det nya året, " enligt Symantec.
