Video: internet explorer 11 not installing on windows 7, how to fix it? (Oktober 2024)
Sent i april oppdaget sikkerhetsforskere en utnyttelse i Internet Explorer 8 som tillot angripere å henrette ondsinnet kode på datamaskinens offer. Mest urovekkende er utnyttelsen blitt funnet i naturen på et amerikansk arbeidsdepartement (DoL) nettsted, muligens rettet mot arbeidere med tilgang til kjernefysiske eller andre giftige materialer. I helgen bekreftet Microsoft at utnyttelsen var en ny nulldag i IE 8.
Utnyttelsen
Microsoft sendte fredag en sikkerhetsrådgivning som bekreftet utnyttelsen i Internet Explorer 8 CVE-2013-1347, og la merke til at versjoner 6, 7, 9 og 10 ikke ble berørt.
"Dette er et sårbarhet med ekstern kjøring av kode, " skrev Microsoft. "Sårbarheten eksisterer på den måten som Internet Explorer får tilgang til et objekt i minnet som er blitt slettet eller ikke har blitt tildelt på riktig måte. Sårbarheten kan ødelegge minnet på en måte som kan tillate en angriper å utføre vilkårlig kode i sammenheng med den nåværende brukeren. innen Internet Explorer."
"En angriper kan være vert for et spesielt laget nettsted som er designet for å utnytte dette sikkerhetsproblemet gjennom Internet Explorer og deretter overbevise en bruker om å se nettstedet, " skriver Microsoft. Dessverre ser det ut til at dette allerede har skjedd.
I villmarken
Utbyttet ble først lagt merke til i slutten av april av sikkerhetsselskapet Invincea. De bemerket at DoL-nettstedet så ut til å lede besøkende til et annet nettsted der en variant av Poison Ivy Trojan ble installert på offerets enhet.
AlienVault Labs skrev at mens skadelig programvare utførte en rekke aktiviteter, skannet den også offerets datamaskin for å finne ut hva, om noen, anit-virus var til stede. I følge AlienVault sjekket skadelig programvare blant annet om Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure og Kasperky.
På Cisco Blogg, skriver Craig Williams, "vil denne informasjonen sannsynligvis bli brukt til å lette og sikre suksess for fremtidige angrep."
Selv om det er vanskelig å si hva motivasjonene bak DoL-angrepet ser ut til at utnyttelsen er blitt utplassert med noen mål for øyet. Williams kalte det et "vannhull" -angrep, der et populært nettsted er modifisert for å infisere innkommende besøkende - i likhet med angrepet på utviklere vi så tidligere i år.
Mens DoL var det første trinnet i angrepet, synes det mulig at de faktiske målene var på energidepartementet - nærmere bestemt ansatte med tilgang til kjernefysisk materiale. AlienVault skriver at nettstedet Site Exposure Matrices som inneholder informasjon om ansattes kompensasjon for eksponering for giftige stoffer var involvert.
Williams skrev, "Besøkende på spesifikke sider som var vert for kjernefysisk relatert innhold på nettstedet Department of Labor, fikk også skadelig innhold lastet fra domenet dol.ns01.us." Det aktuelle DoL-nettstedet er siden blitt reparert.
Vær forsiktig der ute
Microsofts rådgivning bemerker også at ofre måtte lokkes til et nettsted for at utnyttelsen skal være effektiv. "I alle tilfeller vil imidlertid en angriper ikke ha noen måte å tvinge brukere til å besøke disse nettstedene, " skriver Microsoft.
Siden det er mulig at dette er et målrettet angrep, vil de fleste brukere sannsynligvis ikke møte utnyttelsen selv. Imidlertid, hvis den brukes av en gruppe angripere, er det sannsynlig at andre har tilgang til den nye utnyttelsen også. Pass alltid på rare koblinger og tilbud som er gode for å være sanne. I det siste har angripere brukt sosialteknisk taktikk som kapring av Facebook-kontoer for å spre ondsinnede koblinger, eller få e-postmeldinger til å komme fra familiemedlemmer. Det er lurt å gi hver lenke en sniff-test.
Microsoft har ikke kunngjort når eller hvordan utnyttelsen vil bli adressert.
