Видео: Exploit Internet Explorer 8 on win 7 (Ноябрь 2024)
Microsoft выпустила «Исправить это», устраняющую уязвимость нулевого дня в более старых версиях Internet Explorer, которая использовалась для компрометации посетителей сайта Совета по международным отношениям в прошлом месяце.
Уязвимость нулевого дня связана с тем, как IE обращается к «объектной памяти n, которая была удалена или не была правильно выделена», - говорится в сообщении Microsoft о безопасности 29 декабря. Эта проблема присутствует в Internet Explorer 6, 7, и 8. Новые IE 9 и 10 не затрагиваются.
«Fix It» - это не постоянное исправление, а всего лишь временный механизм, который можно использовать для защиты пользователей, пока не будет готово полное обновление безопасности. Microsoft не раскрыла, будет ли обновление готово к январскому пятничному вторнику, намеченному на 8 января.
«На этом этапе настоятельно рекомендуется применить Fix it, если вы не можете выполнить обновление до Internet Explorer 9 или 10 или если вы еще не применили один из обходных путей», - написал Йоханнес Ульрих из Технологического института SANS в Internet Storm. Центр блога.
Drive By Download Attacks
Этот недостаток безопасности особенно опасен, потому что злоумышленники могут использовать его при атаке с загрузкой с диска. Жертвы, посещающие захваченный миной сайт, будут заражены, не нажимая и ничего не делая на сайте.
На прошлой неделе исследователи из FireEye сообщили, что злоумышленники взломали веб-сайт Совета по международным отношениям, чтобы использовать этот недостаток. Посетители веб-сайта внешнеполитического аналитического центра были заражены вредоносной программой Bifrose, бэкдором, который позволяет злоумышленникам красть файлы, хранящиеся на компьютере.
Алекс Хоран из CORE Security заявил SecurityWatch, что тот факт, что сайт CFR был подделан, подразумевает, что жертвами преследования являются люди, заинтересованные во внешней политике США. «Получение контроля над своими машинами и возможность читать все их местные документы были бы сокровищницей информации», - сказал Хоран. Атаки нулевого дня «дороги» в том смысле, что их сложнее развивать, поэтому цель должна стоить усилий, сказал он.
Жертвы в настоящее время сосредоточены в Северной Америке, предлагая целевую кампанию атаки, говорится в блоге Symantec Security Response.
Вредоносный код использовался для браузеров, чей язык операционной системы был английский (США), китайский (Китай), китайский (Тайвань), японский, корейский или русский, пишет Дариен Киндлунд из FireEye.
По словам Честера Вишневского, старшего советника по безопасности в Sophos, CFR, возможно, был заражен еще 7 декабря. По крайней мере пять дополнительных веб-сайтов были подделаны, «предполагая, что атака более распространена, чем первоначально предполагалось», но, по-видимому, нет очевидной связи между жертвами, сказал Вишневский.
Зив Мадор, директор по исследованиям безопасности в Trustwave, нередко видит атаки во время курортного сезона. «Это происходит потому, что реакция поставщиков безопасности, поставщика программного обеспечения и ИТ-группы затронутой организации может быть медленнее, чем обычно», - сказал Мадор.
Исправить это и обходные пути
Пользователи, которые не могут выполнить обновление до IE 9 или 10 или не могут применить исправление, должны использовать альтернативный веб-браузер, пока не станет доступен полный патч. Microsoft также рекомендовала пользователям установить брандмауэр и убедиться, что все программное обеспечение и продукты безопасности полностью исправлены и обновлены. Поскольку в этой атаке используются Java и Flash, Джейми Бласко из AlienVault рекомендовал на время отказаться от стороннего программного обеспечения в браузере.
Хотя исправление легко применять и не требует перезагрузки, оно «мало повлияет на время запуска Internet Explorer», - написал в блоге MSRC Кристиан Крайовяну, член команды MSRC Engineering. Когда окончательный патч станет доступен, пользователям следует удалить временное решение, чтобы снова ускорить запуск браузера.
Эта атака была «еще одним серьезным напоминанием» о том, что работа на компьютере в качестве пользователя без прав администратора может окупиться в этих ситуациях, сказал Вишневский. Быть непривилегированным пользователем означает, что злоумышленники ограничены в размере ущерба, который они могут нанести.
Чтобы узнать больше о Фахмиде, следите за ней в Твиттере @zdFYRashid.
