Video: ALL VERSIONS OF INTERNET EXPLORER (1995-2013) (November 2024)
Koncom apríla v apríli výskumníci v oblasti bezpečnosti objavili zneužitie programu Internet Explorer 8, ktoré útočníkom umožnilo vykonať škodlivý kód v počítači obete. Najviac znepokojujúce je, že zneužívanie sa našlo vo voľnej prírode na webových stránkach Ministerstva práce USA (DoL), pravdepodobne zameraných na pracovníkov s prístupom k jadrovým alebo iným toxickým materiálom. Tento víkend spoločnosť Microsoft potvrdila, že v IE 8 bol tento nový deň nulový.
The Exploit
Spoločnosť Microsoft vydala v piatok bezpečnostné odporúčanie, v ktorom potvrdila využitie programu Internet Explorer 8 CVE-2013-1347, pričom uviedla, že verzie 6, 7, 9 a 10 neboli ovplyvnené.
„Toto je chyba zabezpečenia spustenia kódu na diaľku, “ napísal Microsoft. „Táto chyba zabezpečenia existuje tak, že program Internet Explorer pristupuje k objektu v pamäti, ktorý bol odstránený alebo nebol správne pridelený. Táto chyba zabezpečenia môže poškodiť pamäť spôsobom, ktorý by útočníkovi mohol umožniť vykonanie ľubovoľného kódu v kontexte aktuálneho používateľa. v prehliadači Internet Explorer. “
„Útočník by mohol hostiť špeciálne vytvorený web, ktorý je navrhnutý tak, aby zneužil túto chybu zabezpečenia prostredníctvom programu Internet Explorer a potom presvedčil používateľa, aby si web prezeral, “ píše Microsoft. Žiaľ, zdá sa, že sa to už stalo.
V divočine
Toto zneužitie prvýkrát zaznamenala koncom apríla bezpečnostná spoločnosť Invincea. Poznamenali, že webová stránka DoL sa javí ako presmerujúca návštevníkov na inú webovú stránku, na ktorej je v zariadení obete nainštalovaný variant jedu Trojan jedu.
AlienVault Labs napísali, že zatiaľ čo malvér vykonával množstvo aktivít, preveroval tiež počítač obete, aby zistil, či je prítomný anit-vírus. Podľa AlienVault malvér okrem iného skontroloval prítomnosť softvéru Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure a Kasperky.
Na blogu Cisco Craig Williams píše: „Tieto informácie sa pravdepodobne použijú na uľahčenie a zabezpečenie úspechu budúcich útokov.“
Aj keď je ťažké povedať, aké sú dôvody za útokom DoL, využitie sa zdá byť nasadené s ohľadom na niektoré ciele. Williams to označil ako útok „zavlažovacej diery“, kde je populárna webová stránka upravená tak, aby infikovala prichádzajúcich návštevníkov - podobne ako útok na vývojárov, ktorých sme videli začiatkom tohto roka.
Zatiaľ čo DoL bol prvým krokom v útoku, zdá sa možné, že skutočné ciele boli na ministerstve energetiky - konkrétne na zamestnancov s prístupom k jadrovému materiálu. AlienVault píše, že bola zapojená webová stránka Matice vystavenia na webe, ktorá poskytuje informácie o kompenzáciách zamestnancov za vystavenie toxickým materiálom.
Williams napísal: „Návštevníci konkrétnych stránok, ktoré sú hostiteľmi jadrového obsahu na webových stránkach ministerstva práce, tiež dostávali škodlivý obsah načítaný z domény dol.ns01.us.“ Dotknutá stránka DoL bola odvtedy opravená.
Buďte opatrní tam
Poradenstvo spoločnosti Microsoft tiež poznamenáva, že na to, aby bolo zneužívanie efektívne, museli by sa na obete nalákať webové stránky. „Vo všetkých prípadoch by však útočník nemal žiadny spôsob, ako prinútiť používateľov, aby navštívili tieto webové stránky, “ píše spoločnosť Microsoft.
Pretože je možné, že sa jedná o cielený útok, väčšina používateľov sa pravdepodobne s zneužívaním nestretne. Ak ju však používa jedna skupina útočníkov, je pravdepodobné, že aj ostatní budú mať prístup k novému zneužitiu. Ako vždy, dajte si pozor na podivné odkazy a príliš dobré ponuky na to, aby to bola pravda. Útočníci v minulosti využívali taktiku sociálneho inžinierstva, ako sú napríklad únosy účtov Facebook, na šírenie škodlivých odkazov, alebo aby sa zdá, že e-maily prichádzajú od rodinných príslušníkov. Je to dobrý nápad dať každému odkazu test čuchania.
Spoločnosť Microsoft neoznámila, kedy a ako sa bude ťažba riešiť.