Útočníci využívají vážné zranitelnosti v aplikaci Internet Explorer při útoku na zalévací díru, varovali vědci z bezpečnostní firmy FireEye. Uživatelé, kteří se pokusili získat přístup k napadenému webu, jsou zasaženi malwarem, který při klasickém útoku typu „drive-by“ infikuje paměť počítače.
Útočníci vložili škodlivý kód, který v Internet Exploreru využívá nejméně dvou nultých nedostatků, na „strategicky důležitou webovou stránku, o které je známo, že přitahuje návštěvníky, kteří se pravděpodobně zajímají o národní a mezinárodní bezpečnostní politiku, “ uvedla FireEye ve své analýze minulý týden. FireEye neidentifikoval web mimo skutečnost, že byl založen ve Spojených státech.
„Využití využívá nové zranitelnosti v úniku informací a zranitelnosti přístupu k paměti IE s překročením limitů pro dosažení spuštění kódu, “ napsali vědci FireEye. "Je to jedna zranitelnost, která je využívána různými způsoby."
Tato zranitelnost se vyskytuje v aplikaci Internet Explorer 7, 8, 9 a 10, která je spuštěna v systému Windows XP nebo Windows 7. Zatímco současný útok se zaměřuje na anglickou verzi aplikace Internet Explorer 7 a 8 spuštěnou v systému Windows XP i Windows 8, zneužití by mohlo být být změněn na jiné verze a jazyky, řekl FireEye.
Neobvykle sofistikované APT
FireEye řekl, že tato pokročilá perzistující hrozba (APT) kampaň používá některé stejné příkazové a řídicí servery jako ty používané v předchozích útocích APT proti japonským a čínským cílům, známým jako Operation DeputyDog. Tento APT je neobvykle sofistikovaný, protože distribuuje škodlivé užitečné zatížení, které běží pouze v paměti počítače, zjistil FireEye. Protože se na disk nezapisuje, je mnohem těžší detekovat nebo najít forenzní důkazy na infikovaných počítačích.
"Využitím strategických webových kompromisů spolu s taktikou dodávání užitečného obsahu v paměti a několika vnořenými metodami zmatení se tato kampaň ukázala být mimořádně provedená a nepolapitelná, " řekl FireEye.
Protože však bezdiskový malware je zcela rezidentní v paměti, zdá se, že restartování počítače odstraní infekci jednoduše restartováním počítače. Zdá se, že útočníci nemají obavy z toho, že jsou vytrvalí, což naznačuje, že útočníci jsou „přesvědčeni, že jejich zamýšlené cíle by jednoduše přepracovali kompromitovanou webovou stránku a byli znovu infikováni, “ psali vědci FireEye.
To také znamená, že útočníci se pohybují velmi rychle, protože se potřebují pohybovat po síti, aby dosáhli jiných cílů nebo našli informace, které jsou před tím, než uživatel restartuje počítač a odstraní infekci. "Jakmile útočník vstoupí a eskaloval oprávnění, může nasadit mnoho dalších metod k prokázání vytrvalosti, " řekl Ken Westin, bezpečnostní výzkumník u Tripwire.
Vědci v bezpečnostní společnosti Triumfant prohlásili nárůst bezdiskového malwaru a označují tyto útoky jako pokročilé volatilní hrozby (AVT).
Nesouvisí s Office Flaw
Nejnovější chyba zabezpečení aplikace Internet Explorer v nultém dni přichází na patách kritické chyby v sadě Microsoft Office, která byla také hlášena minulý týden. Chyba v tom, jak Microsoft Windows a Office přistupují k obrázkům TIFF, nesouvisí s touto chybou aplikace Internet Explorer. Zatímco útočníci již zneužívají chybu Office, většina cílů je v současné době na Blízkém východě a v Asii. Uživatelé jsou vyzváni k instalaci FixIt, což omezuje schopnost počítače otevírat grafiku, zatímco čeká na permanentní opravu.
FireEye Microsoft oznámil tuto chybu zabezpečení, ale Microsoft dosud veřejně nekomentoval chybu. Je nesmírně nepravděpodobné, že by tato chyba byla vyřešena včas pro zítřejší vydání Patch Tuesday Tuesday.
Nejnovější verze sady Microsoft EMET, Enhanced Mitigation Experience Toolkit, úspěšně blokuje útoky zaměřené na zranitelnosti IE a Office. Organizace by měly zvážit instalaci EMET. Uživatelé mohou také zvážit přechod na verzi 11 aplikace Internet Explorer nebo použít jiné prohlížeče než Internet Explorer, dokud není chyba opravena.
Problémy s XP
Tato nejnovější kampaň na zalévání děr také upozorňuje na to, jak útočníci cílí na uživatele systému Windows XP. Společnost Microsoft uživatelům opakovaně připomněla, že po dubnu 2014 přestane poskytovat aktualizace zabezpečení pro systém Windows XP, a uživatelé by měli upgradovat na novější verze operačního systému. Bezpečnostní vědci věří, že mnoho útočníků sedí na mezipaměti zranitelností XP a věří, že po ukončení podpory společnosti Microsoft pro stárnoucí operační systém dojde k vlně útoků zaměřených na Windows XP.
„Neodkládejte - upgradujte ze systému Windows XP na co nejdříve, pokud si ceníte své bezpečnosti, “ napsal na svém blogu Graham Cluley, nezávislý výzkumný pracovník v oblasti bezpečnosti.
