Відео: IE is Being Mean to Me (Вересень 2024)
Наприкінці квітня дослідники безпеки виявили в Internet Explorer 8 подвиг, який дозволив зловмисникам виконувати шкідливий код на комп’ютері жертви. Найбільш тривожно, що цей вибух був знайдений у дикій природі на веб-сайті Міністерства праці США (ДО), можливо, націлений на працівників, які мають доступ до ядерних чи інших токсичних матеріалів. Цими вихідними Microsoft підтвердила, що цей IE 8 був новим днем.
Подвиг
Microsoft у п'ятницю випустила рекомендації щодо безпеки, підтвердивши експлуатацію Internet Explorer 8 CVE-2013-1347, зазначивши, що версії 6, 7, 9 та 10 не вплинули.
"Це вразливе виконання коду віддаленого виконання коду", - пише Microsoft. "Уразливість існує у тому, що Internet Explorer звертається до об'єкта в пам'яті, видаленій або неправильно виділеній. Уразливість може пошкодити пам'ять таким чином, щоб зловмисник міг дозволити виконувати довільний код у контексті поточного користувача в Internet Explorer. "
"Зловмисник може розмістити спеціально створений веб-сайт, розроблений для використання цієї вразливості через Internet Explorer, а потім переконати користувача переглянути веб-сайт", - пише Microsoft. На жаль, це, здається, вже трапилось.
В дикій природі
Експлоатацію вперше помітили наприкінці квітня охоронна компанія Invincea. Вони зазначили, що веб-сайт DoL, начебто, перенаправляє відвідувачів на інший веб-сайт, де на пристрої жертви встановлено варіант трояну "Отрута Іві".
AlienVault Labs написав, що, хоча зловмисне програмне забезпечення виконувало ряд заходів, воно також сканувало комп’ютер жертви, щоб визначити, що, якщо такий є, має антивірус. За словами AlienVault, шкідливе програмне забезпечення перевіряло наявність програмного забезпечення Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure та Kasperky серед інших.
У блозі Cisco, пише Крейг Вільямс, "ця інформація, ймовірно, буде використана для полегшення та забезпечення успіху майбутніх атак".
Незважаючи на те, що важко сказати, які мотивації стоять за атакою DoL, здається, що експлуатування було розгорнуте з урахуванням деяких цілей. Вільямс назвав це «нападом на дірку», де популярний веб-сайт модифікований для зараження вхідних відвідувачів - подібний до нападу на розробників, який ми бачили на початку цього року.
Хоча ДОЛ був першим кроком в атаці, мабуть, цілком реальні цілі були у Міністерстві енергетики, зокрема співробітники, що мають доступ до ядерних матеріалів. AlienVault пише, що був залучений веб-сайт матриць експозиції сайту, на якому розміщена інформація про компенсацію працівникам за вплив токсичних матеріалів.
Вільямс писав: "Відвідувачі певних сторінок, на яких розміщений вміст, пов'язаний з ядерними ресурсами, на веб-сайті Міністерства праці, також отримували шкідливий вміст, завантажений з домену dol.ns01.us." Згаданий сайт DoL відтоді ремонтується.
Будьте обережні там
У довідці Microsoft також зазначається, що жертви повинні бути заманювані на веб-сайт, щоб експлуатація була ефективною. "Однак у всіх випадках зловмисник не зможе змусити користувачів відвідувати ці веб-сайти", - пише Microsoft.
Оскільки можливо, що це цілеспрямована атака, більшість користувачів, ймовірно, самі не зіткнуться з подвигом. Однак якщо його використовує одна група зловмисників, цілком ймовірно, що й інші матимуть доступ до нового подвигу. Як завжди, стежте за дивними посиланнями та надто хорошими, щоб бути справжніми пропозиціями. Раніше зловмисники використовували тактику соціального інжинірингу, як викрадення облікових записів Facebook, щоб розповсюджувати шкідливі посилання або створювати повідомлення електронної пошти від членів сім'ї. Це гарна ідея надати кожному посиланню нюх-тест.
Microsoft не оголосила, коли або як буде вирішено використання подвигу.
