Видео: Настя и сборник весёлых историй (Ноябрь 2024)
Исследователи из Exodus Intelligence сообщили, что смогли обойти обходной путь исправления, который Microsoft выпустила в понедельник для последней уязвимости нулевого дня в Internet Explorer.
В то время как Fix-It заблокировал точный путь атаки, использованный при атаке на сайт Совета по международным отношениям, исследователи смогли «обойти исправление и скомпрометировать полностью исправленную систему с помощью варианта эксплойта», согласно сообщению в пятницу на блог Исход.
Согласно сообщению, Microsoft была проинформирована о новом эксплойте. Исследователи Exodus заявили, что не будут раскрывать какие-либо подробности своего подвига, пока Microsoft не исправит эту дыру.
Исправление было задумано как временное исправление, пока компания работала над полным патчем, чтобы закрыть обновление безопасности. Microsoft не сообщила, когда будет доступно полное обновление Internet Explorer, и не ожидается, что оно будет включено в запланированный на следующую неделю выпуск исправлений на вторник.
Пользователям следует загрузить и установить набор инструментов Microsoft Enhanced Mitigation Experience 3.5 «как еще один инструмент, помогающий защитить ваши системы Windows от различных атак», - написал Ги Бруно из Института SANS в блоге Internet Storm Center. В более ранней публикации ISC было продемонстрировано, как EMET 3.5 может блокировать атаки, направленные на уязвимость IE.
Найдены более компрометированные сайты
Исследователи FireEye впервые обнаружили недостаток нулевого дня, когда обнаружили, что веб-сайт Совета по международным отношениям был скомпрометирован и обслуживал вредоносные файлы Flash для ничего не подозревающих посетителей. Оказывается, ряд других политических, социальных и правозащитных сайтов в США, России, Китае и Гонконге также были заражены и распространяли вредоносное ПО.
По словам FireEye, атака CFR могла начаться уже 7 декабря. Злоумышленники использовали Today.swf, вредоносный файл Adobe Flash, чтобы запустить атаку с использованием кучи, которая позволила злоумышленнику удаленно выполнить код на зараженном компьютере.
Исследователи Avast сообщили, что два китайских сайта по правам человека, гонконгский газетный сайт и российский научный сайт были модифицированы для распространения Flash, использующего уязвимость в Internet Explorer 8. Исследователь безопасности Эрик Романг обнаружил аналогичную атаку на сайт производителя энергетических микротурбин Capstone Turbine Corporation., а также на сайте, принадлежащем китайской диссидентской группе Uygur Haber Ajanski. Турбина Capstone, возможно, была заражена еще 17 декабря.
Еще в сентябре Capstone Turbine был модифицирован для распространения вредоносных программ, использующих другую уязвимость нулевого дня, сказал Романг.
«Возможно, парни из CVE-2012-4969 и CVE-2012-4792 одинаковы», - пишет Романг.
Исследователи Symantec связывают последние атаки с группой Elderwood, которая использовала другие недостатки нулевого дня для запуска подобных атак в прошлом. По словам Symantec, группа повторно использовала компоненты с платформы Elderwood и распространяла аналогичные файлы Flash среди своих жертв. По словам Symantec, вредоносный файл Flash, которым заражены посетители Capston Turbine, имеет несколько сходств с файлом Flash, который ранее использовался бандой Elderwood для других атак.
«Стало ясно, что группа, стоящая за проектом« Элдервуд », продолжает создавать новые уязвимости нулевого дня для использования при атаках на водопой, и мы ожидаем, что они продолжат делать это в Новом году», - сообщает Symantec.