Відео: Zero-Day: Internet Explorer 11 Sandbox Bypass (Вересень 2024)
Microsoft випустила "Виправити", що стосується вразливості до нуля дня у старих версіях Internet Explorer, яка використовувалася для компрометації відвідувачів веб-сайту Ради з питань зовнішніх зв'язків минулого місяця.
Уразливість з нульовим днем пов'язана з тим, як IE отримує доступ до "об'єкта n пам'яті, яка була видалена або не була належним чином розподілена", - заявила Microsoft у консультації з безпеки 29 грудня. Проблема присутня в Internet Explorer 6, 7, і 8. Нові IE 9 і 10 не впливають.
"Виправити" - це не постійний виправлення, а лише тимчасовий механізм, який можна використовувати для захисту користувачів до повного оновлення безпеки. Microsoft не оприлюднила, чи буде оновлення готове до січневого патч-вівторка, запланованого на 8 січня.
"На даний момент настійно рекомендується застосувати виправити це, якщо ви не можете оновити до Internet Explorer 9 або 10, або якщо ви ще не застосували жодного із способів вирішення проблеми", - написав Йоханнес Улріх, Інститут технологій SANS в Інтернеті Шторм Блог центру
Диск за атаками завантаження
Цей недолік безпеки є особливо небезпечним, оскільки зловмисники можуть використовувати його під час атаки завантаження. Жертви, які відвідують веб-сайт, захоплений гнучками, заражатимуться, не натискаючи та не роблячи нічого на цьому сайті.
Зловмисники підробили веб-сайт Ради з питань зовнішніх зв'язків для використання цієї вади, повідомили дослідники FireEye минулого тижня. Відвідувачі веб-сайту зовнішньополітичного аналітичного центру були заражені шкідливим програмним забезпеченням Bifrose - заднім кутом, який дозволяє зловмисникам красти файли, що зберігаються на комп'ютері.
Про те, що сайт CFR був підроблений, означає, що цільові жертви - це люди, які зацікавлені у зовнішній політиці США, розповів SecurityWatch Алекс Хоран із CORE Security . "Отримати контроль над своїми машинами і вміти читати всі їхні місцеві документи було б скарбницею інформації", - сказав Горан. Атаки з нульовими днями "дорогі" в тому сенсі, що їх важче розвивати, так що ціль повинна бути варті зусиль, сказав він.
Наразі жертви зосереджені у Північній Америці, що пропонує націлену кампанію нападів, повідомляє Symantec Security Response у своєму блозі.
Зловмисний код послужив експлуатуванням браузерам, мовами операційної системи яких були англійська (США), китайська (Китай), китайська (Тайвань), японська, корейська або російська, написав Даріен Кіндлунд від FireEye.
CFR, можливо, був заражений ще 7 грудня, заявив Честер Вішневський, старший радник служби безпеки в Софосі. Щонайменше п’ять додаткових веб-сайтів були підроблені, "припускаючи, що напад є більш розповсюдженим, ніж вважалося спочатку", але очевидно, що між жертвами немає очевидного зв’язку, сказав Вісневський.
Незвично спостерігати напади в період відпусток, розповів SecurityWatch Ziv Mador, директор дослідження безпеки в Trustwave. "Це трапляється через те, що реакція постачальників безпеки, постачальника програмного забезпечення та ІТ-команди постраждалої організації може бути повільнішою, ніж зазвичай", - сказав Мадор.
Виправити це і вирішити
Користувачі, які не можуть оновити IE 9 або 10 або не можуть застосувати Fix It, повинні використовувати альтернативний веб-браузер, поки не буде доступний повний патч. Microsoft також рекомендувала користувачам встановити брандмауер та забезпечити, щоб усі програмні продукти та продукти безпеки були повністю виправлені та оновлені. Оскільки ця атака використовує Java та Flash, Джеймі Бласко AlienVault рекомендував уникати програмного забезпечення сторонніх розробників у браузері.
Хоча Fix легко застосувати та не потребує перезавантаження, це "матиме невеликий вплив на час запуску Internet Explorer", написав у своєму блозі MSRC Крістіан Крайовеану, член команди MSRC Engineering. Коли остаточний патч нарешті стає доступним, користувачі повинні видалити рішення, щоб знову прискорити час запуску браузера.
Цей напад був "черговим гострим нагадуванням" про те, що робота за комп'ютером як неадміністративний користувач може окупитися в цих ситуаціях, заявив Вісневський. Бути непривілейованим користувачем означає, що зловмисники обмежені в кількості шкоди, яку вони можуть завдати.
Щоб дізнатися більше про Фахміду, слідкуйте за нею у Twitter @zdFYRashid.
