Відео: CVE-2018-15982 Flash IE n FireFox (Листопад 2024)
Зловмисники застосовують серйозні уразливості в Internet Explorer під час нападу на дірку, - попередили дослідники охоронної фірми FireEye. Користувачі, які потрапили на доступ до зараженого веб-сайту, потрапляють із шкідливим програмним забезпеченням, яке заражає пам'ять комп'ютера в класичній атаці.
Зловмисники вбудували зловмисний код, який використовує щонайменше два недоліки нульового дня в Internet Explorer, у "стратегічно важливий веб-сайт, відомий для залучення відвідувачів, які, ймовірно, зацікавлені в національній та міжнародній політиці безпеки", - сказав FireEye у своєму аналізі минулого тижня. FireEye не визначив сайт, крім того, що він базувався в США.
"Експлуатація використовує нову вразливість до витоку інформації та вразливість доступу до пам'яті IE за межами пам'яті, щоб досягти виконання коду", - пишуть дослідники FireEye. "Це одна вразливість, яку експлуатують різними способами".
Уразливості є в Internet Explorer 7, 8, 9 та 10, що працює на Windows XP або Windows 7. Хоча поточна атака спрямована на англійську версію Internet Explorer 7 і 8, що працює на Windows XP і Windows 8, експлуатація може потрібно змінити, щоб націлити інші версії та мови, сказав FireEye.
Незвично витончений APT
FireEye заявив, що ця розширена стійка погроза (APT) використовує деякі ті ж сервери команд та управління, що й ті, що використовувались у попередніх атаках APT проти японських та китайських цілей, відома як Operation заместник. Цей APT незвично складний, оскільки він поширює зловмисне корисне навантаження, яке працює виключно в пам'яті комп'ютера, виявив FireEye. Оскільки він не записує себе на диск, набагато важче виявити або знайти криміналістичні докази на заражених машинах.
"Використовуючи стратегічні веб-компроміси, поряд із тактикою доставки корисної навантаження в пам'яті та безліччю вкладених методів обфускування, ця кампанія виявилася надзвичайно успішною і невловимою", - зазначив FireEye.
Однак, оскільки зловмисне програмне забезпечення без диску повністю залишається в пам'яті, просто перезавантаживши машину, видаляється інфекція. Здається, зловмисники не переживають за те, що вони будуть наполегливими, припускаючи, що зловмисники "впевнені, що їхні цілі просто переглянуть порушений веб-сайт та повторно заразяться", - пишуть дослідники FireEye.
Це також означає, що зловмисники рухаються дуже швидко, оскільки їм потрібно рухатися по мережі, щоб досягти інших цілей або знайти інформацію, яку вони шукають, перш ніж користувач перезавантажить машину та видалить інфекцію. "Після того, як зловмисник потрапляє і збільшує привілеї, він може застосувати безліч інших методів для встановлення наполегливості", - сказав Кен Вестін, дослідник безпеки компанії Tripwire.
Дослідники охоронної компанії Triumfant заявили про збільшення зловмисного програмного забезпечення без дисків і називають ці напади розширеними волатильними загрозами (AVT).
Не пов’язаний із недоліком Office
Про останню вразливість Internet Explorer з нульовим днем з'являється критичний недолік у Microsoft Office, який також повідомлявся минулого тижня. Недолік у тому, як Microsoft Windows та Office отримують доступ до зображень TIFF, не пов’язаний із цією помилкою Internet Explorer. Поки зловмисники вже експлуатують помилку в офісі, більшість цілей зараз перебувають на Близькому Сході та в Азії. Користувачам рекомендується встановлювати FixIt, який обмежує можливість комп'ютера відкривати графіку, очікуючи постійного виправлення.
FireEye сповістила Microsoft про вразливість, але Microsoft поки що не коментує публічно цей недолік. Надзвичайно малоймовірно, що ця помилка буде вирішена вчасно для завтрашнього випуску Patch Tuesday.
Остання версія Microsoft EMET, Посібник з покращеного досвіду пом'якшення, успішно блокує атаки, спрямовані на вразливості IE, а також на Office. Організації повинні розглянути можливість встановлення EMET. Користувачі також можуть розглянути можливість оновлення до версії 11 Internet Explorer або використовувати браузери, окрім Internet Explorer, доки помилка не буде виправлена.
Проблеми з XP
Ця остання кампанія з поливу отворів також висвітлює, як зловмисники націлюють користувачів Windows XP. Microsoft неодноразово нагадувала користувачам, що припинить надавати оновлення безпеки для Windows XP після квітня 2014 року, і користувачі повинні оновити новіші версії операційної системи. Дослідники з питань безпеки вважають, що багато зловмисників сидять на сховищах вразливих місць XP і вважають, що після наближення підтримки операційної системи для старіння операційної системи Microsoft XP наступить хвиля атак, спрямованих на Windows XP.
"Не зволікайте - оновіть з Windows XP якомога швидше, якщо ви цінуєте свою безпеку", - написав у своєму блозі Грем Клулі, незалежний дослідник безпеки.