Дом Securitywatch Новый, т. Е. Нулевой день, используемый при атаке на водопой

Новый, т. Е. Нулевой день, используемый при атаке на водопой

Видео: Exploit Internet Explorer 8 on win 7 (Ноябрь 2024)

Видео: Exploit Internet Explorer 8 on win 7 (Ноябрь 2024)
Anonim

Злоумышленники используют серьезную уязвимость в Internet Explorer для атаки на водопой, предупреждают исследователи из охранной фирмы FireEye. Пользователи, обманутые доступом к зараженному веб-сайту, сталкиваются с вредоносными программами, которые заражают память компьютера в ходе классической атаки «Drive-by».

Злоумышленники внедрили вредоносный код, который использует как минимум два недостатка нулевого дня в Internet Explorer, в «стратегически важный веб-сайт, который привлекает посетителей, которые, вероятно, заинтересованы в национальной и международной политике безопасности», - сказал FireEye в своем анализе на прошлой неделе. FireEye не идентифицировал сайт за исключением того факта, что он базировался в Соединенных Штатах.

«В эксплойте используется новая уязвимость, связанная с утечкой информации, и уязвимость доступа к оперативной памяти в IE для достижения выполнения кода», - пишут исследователи FireEye. «Это одна уязвимость, эксплуатируемая различными способами».

Уязвимости присутствуют в Internet Explorer 7, 8, 9 и 10, работающем в Windows XP или Windows 7. Хотя текущая атака направлена ​​на английскую версию Internet Explorer 7 и 8, работающую как в Windows XP, так и в Windows 8, эксплойт может быть измененным, чтобы предназначаться для других версий и языков, сказал FireEye.

Необычно Сложный APT

FireEye сообщает, что в этой кампании продвинутых постоянных угроз (APT) используются те же серверы командования и управления, что и в предыдущих атаках APT на японские и китайские цели, известные как Operation ViceDog. FireEye обнаружил, что этот APT необычайно сложен, потому что он распространяет вредоносную полезную нагрузку, которая запускается исключительно в памяти компьютера. Поскольку он не записывает себя на диск, его гораздо сложнее обнаружить или найти на судебных компьютерах.

«Используя стратегические веб-компромиссы наряду с тактикой доставки полезной нагрузки в памяти и множественными вложенными методами запутывания, эта кампания оказалась исключительно успешной и неуловимой», - сказал FireEye.

Однако, поскольку бездисковое вредоносное ПО полностью находится в памяти, простая перезагрузка компьютера, по-видимому, удаляет инфекцию. Злоумышленники, похоже, не беспокоятся о своей настойчивости, полагая, что злоумышленники «уверены, что их предполагаемые цели просто зайдут на взломанный веб-сайт и будут повторно заражены», - пишут исследователи FireEye.

Это также означает, что злоумышленники движутся очень быстро, так как им нужно перемещаться по сети, чтобы достичь других целей или найти информацию, которую они ищут, прежде чем пользователь перезагрузит компьютер и удалит инфекцию. «Как только злоумышленник войдет в систему и повысит привилегии, он может использовать множество других методов, чтобы установить постоянство, - сказал Кен Вестин, исследователь безопасности в Tripwire.

Исследователи из охранной компании Triumfant заявляют об увеличении количества бездисковых вредоносных программ и называют эти атаки Advanced Volatile Threats (AVT).

Не относится к недостатку Office

Последняя уязвимость Internet Explorer, связанная с нулевым днем, возникла вслед за критическим недостатком в Microsoft Office, о котором также сообщалось на прошлой неделе. Ошибка в том, как Microsoft Windows и Office получают доступ к изображениям TIFF, не связана с этой ошибкой Internet Explorer. Хотя злоумышленники уже используют ошибку Office, большинство целей в настоящее время находятся на Ближнем Востоке и в Азии. Пользователям рекомендуется установить FixIt, который ограничивает возможности компьютера открывать графику, ожидая постоянного исправления.

FireEye уведомил Microsoft об этой уязвимости, но Microsoft еще не прокомментировала этот недостаток. Крайне маловероятно, что эта ошибка будет устранена ко времени выхода завтрашнего патча во вторник.

Последняя версия Microsoft EMET, Enhanced Mitigation Experience Toolkit, успешно блокирует атаки, направленные как на уязвимости IE, так и на Office. Организациям следует рассмотреть возможность установки EMET. Пользователи также могут рассмотреть возможность обновления до версии 11 Internet Explorer или использовать браузеры, отличные от Internet Explorer, до устранения ошибки.

Проблемы с XP

Эта последняя кампания также показывает, как злоумышленники атакуют пользователей Windows XP. Microsoft неоднократно напоминала пользователям, что она прекратит предоставлять обновления для системы безопасности Windows XP после апреля 2014 года, и пользователям следует обновить ее до более новых версий операционной системы. Исследователи в области безопасности полагают, что многие злоумышленники сидят в кэш-памяти уязвимостей XP и считают, что после прекращения поддержки устаревшей операционной системой Microsoft начнется волна атак на Windows XP.

«Не откладывайте - обновите Windows XP как можно быстрее, если вы цените свою безопасность», - написал в своем блоге независимый исследователь Грэм Клули.

Новый, т. Е. Нулевой день, используемый при атаке на водопой