Video: Internet Explorer Zero-Day Vulnerability Under Active Attack (Oktober 2024)
Microsoft ga ut en "Fix It" som adresserte et null-dagers sårbarhet i eldre versjoner av Internet Explorer som ble brukt til å kompromittere besøkende på nettstedet Council on Foreign Relations forrige måned.
Nulldagers sårbarhet er relatert til hvordan IE får tilgang til "et objekt n-minne som er blitt slettet eller ikke har blitt tildelt riktig", sa Microsoft i en sikkerhetsrådgivning 29. desember. Problemet er til stede i Internet Explorer 6, 7, og 8. Den nyere IE 9 og 10 er ikke berørt.
"Fix It" er ikke en permanent oppdatering, men bare en midlertidig mekanisme som kan brukes til å beskytte brukere til hele sikkerhetsoppdateringen er klar. Microsoft har ikke opplyst om oppdateringen vil være klar for januar's Patch tirsdag, planlagt 8. januar.
"På dette tidspunktet anbefales det sterkt å bruke Fix it hvis du ikke kan oppgradere til Internet Explorer 9 eller 10, eller hvis du ikke allerede har brukt en av løsningene, " skrev Johannes Ullrich, SANS Technology Institute på Internet Storm Senterblogg.
Drive By Download Attacks
Denne sikkerhetsfeilen er spesielt farlig fordi angripere kan utnytte den i et drive-by nedlastningsangrep. Ofre som besøker det booby-fanget nettstedet vil bli smittet uten å klikke eller gjøre noe på nettstedet.
Angripere tuklet med nettstedet Council on Foreign Relations for å utnytte denne feilen, rapporterte forskere ved FireEye forrige uke. Besøkende på den utenrikspolitiske tenketankens nettsted ble smittet med Bifrose-malware, en bakdør som lar angripere stjele filer som er lagret på datamaskinen.
At CFRs side ble tuklet med, innebærer at de målrettede ofrene er mennesker som er interessert i USAs utenrikspolitikk, sa Alex Horan fra CORE Security til SecurityWatch . "Å få kontroll over maskinene sine og kunne lese alle de lokale dokumentene deres ville være en skattekule av informasjon, " sa Horan. Null-dagers angrep er "dyre" i den forstand at de er vanskeligere å utvikle, så det må være verdt innsatsen, sa han.
Ofre er for øyeblikket konsentrert i Nord-Amerika, noe som antyder en målrettet angrepskampanje, sier Symantec Security Response i bloggen.
Den ondsinnede koden tjente utnyttelsen til nettlesere hvis operativsystemspråk enten var engelsk (USA), kinesisk (Kina), kinesisk (Taiwan), japansk, koreansk eller russisk, skrev FireEyes Darien Kindlund.
CFR kan ha blitt smittet så langt tilbake som 7. desember, sa Chester Wisniewski, senior sikkerhetsrådgiver hos Sophos. Minst fem ekstra nettsteder er blitt tuklet med, "noe som antyder at angrepet er mer utbredt enn opprinnelig antatt, " men det ser ikke ut til å være noen åpenbar kobling mellom ofrene, sa Wisniewski.
Det er ikke uvanlig å se angrep rundt høytiden, sier Ziv Mador, direktør for sikkerhetsforskning ved Trustwave, til SecurityWatch . "Det skjer fordi svaret fra sikkerhetsleverandører, programvareleverandøren og IT-teamet i den berørte organisasjonen kan være tregere enn vanlig, " sa Mador.
Fix It and Workarounds
Brukere som ikke kan oppgradere til IE 9 eller 10 eller ikke kan bruke Fix It, bør bruke en alternativ nettleser før hele oppdateringen er tilgjengelig. Microsoft anbefalte også at brukerne har en brannmur på plass og sørger for at all programvare og sikkerhetsprodukter er fullstendig oppdaterte og oppdaterte. Siden dette angrepet bruker Java og Flash, anbefalte AlienVault Jamie Blasco å unngå tredjepartsprogramvare i nettleseren foreløpig.
Mens Fix Det er enkelt å bruke og ikke krever omstart, vil det "ha en liten effekt på oppstartstiden til Internet Explorer, " skrev Cristian Craioveanu, medlem av MSRC Engineering-teamet, på MSRC-bloggen. Når den endelige oppdateringen endelig blir tilgjengelig, bør brukerne avinstallere løsningen for å øke hastigheten på nettleserens oppstart igjen.
Dette angrepet var "en annen gripende påminnelse" om at det å fungere på datamaskinen som en ikke-administrativ bruker kan lønne seg i disse situasjonene, sa Wisniewski. Å være en ikke-privilegert bruker betyr at angriperne er begrenset i mengden skade de kan forårsake.
For mer fra Fahmida, følg henne på Twitter @zdFYRashid.
