Видео: IE is Being Mean to Me (Октября 2024)
В конце апреля исследователи безопасности обнаружили в Internet Explorer 8 эксплойт, позволяющий злоумышленникам выполнять вредоносный код на компьютере жертвы. Самое неприятное, что эксплойт был обнаружен в свободном доступе на веб-сайте Министерства труда США (DoL), возможно, нацеленного на работников, имеющих доступ к ядерным или другим токсичным материалам. В эти выходные Microsoft подтвердила, что эксплойт был новым нулевым днем в IE 8.
Эксплойт
В пятницу Microsoft выпустила рекомендацию по безопасности, подтверждающую эксплойт в Internet Explorer 8 CVE-2013-1347, отмечая, что версии 6, 7, 9 и 10 не были затронуты.
«Это уязвимость удаленного выполнения кода», - пишет Microsoft. «Уязвимость существует в том, что Internet Explorer обращается к объекту в памяти, который был удален или не был правильно выделен. Уязвимость может повредить память таким образом, что злоумышленник может выполнить произвольный код в контексте текущего пользователя. в Internet Explorer."
«Злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования этой уязвимости через Internet Explorer, а затем убедить пользователя просмотреть веб-сайт», - пишет Microsoft. К сожалению, похоже, это уже произошло.
В дикой природе
Эксплойт был впервые замечен в конце апреля охранной компанией Invincea. Они отметили, что веб-сайт DoL, по-видимому, перенаправляет посетителей на другой веб-сайт, где на устройстве жертвы был установлен вариант троянца Poison Ivy.
AlienVault Labs пишет, что, хотя вредоносная программа выполняла ряд действий, она также сканировала компьютер жертвы, чтобы определить, что, если таковые имеются, присутствовал антивирус. Согласно AlienVault, вредоносная программа проверяла наличие программного обеспечения Avira, Bitdefneder, McAfee, AVG, Eset, Dr.Web, MSE, Sophos, F-secure и Kasperky.
В блоге Cisco, пишет Крейг Уильямс, «эта информация, вероятно, будет использоваться для облегчения и обеспечения успеха будущих атак».
Хотя трудно сказать, какие мотивы лежат в основе DoL-атаки, эксплойт, похоже, был развернут с учетом некоторых целей. Уильямс назвал это «атакой через дыру», когда популярный веб-сайт модифицируется для заражения входящих посетителей - аналогично атаке на разработчиков, которую мы видели ранее в этом году.
Хотя DoL был первым шагом в атаке, представляется возможным, что фактические цели были в Министерстве энергетики - в частности, сотрудники, имеющие доступ к ядерным материалам. AlienVault пишет, что был задействован веб-сайт «Матрицы воздействия на сайт», на котором размещена информация о компенсации сотрудникам за воздействие токсичных материалов.
Уильямс писал: «Посетители определенных страниц, на которых размещается ядерный контент на веб-сайте Министерства труда, также получали вредоносный контент, загруженный с домена dol.ns01.us». С тех пор рассматриваемый сайт DoL был отремонтирован.
Будь осторожен там
Microsoft также отмечает, что жертвы должны быть привлечены к веб-сайту, чтобы эксплойт был эффективным. «Однако во всех случаях злоумышленник не может заставить пользователей посетить эти сайты», - пишет Microsoft.
Поскольку вполне возможно, что это целенаправленная атака, большинство пользователей, вероятно, сами не столкнутся с эксплойтом. Однако, если он используется одной группой злоумышленников, вероятно, другие также получат доступ к новому эксплойту. Как всегда, следите за странными ссылками и слишком хорошими предложениями. В прошлом злоумышленники использовали методы социальной инженерии, такие как взлом учетных записей Facebook, для распространения вредоносных ссылок или создания электронных писем от членов семьи. Это хорошая идея, чтобы дать каждой ссылке тест sniff.
Microsoft не объявила, когда и каким образом эксплойт будет рассмотрен.
