Video: Lazer Team (Oktober 2024)
Angripere utnytter alvorlige sårbarheter i Internet Explorer i et vannhullangrep, advarte forskere fra sikkerhetsfirmaet FireEye. Brukere som lures til å få tilgang til det infiserte nettstedet, blir truffet med skadelig programvare som infiserer datamaskinens minne i et klassisk drive-by-angrep.
Angripere har lagt ned den ondsinnede koden som utnytter minst to null-dagers feil i Internet Explorer til "et strategisk viktig nettsted, kjent for å trekke besøkende som sannsynligvis er interessert i nasjonal og internasjonal sikkerhetspolitikk, " sa FireEye i sin analyse forrige uke. FireEye identifiserte ikke nettstedet utover det faktum at det var basert i USA.
"Utnyttelsen utnytter en ny sårbarhet for informasjonslekkasje og en sårbarhet for tilgang til minne i tilgang til IE for å oppnå kodeutføring, " skrev FireEye-forskere. "Det er en sårbarhet som blir utnyttet på forskjellige måter."
Sårbarhetene er til stede i Internet Explorer 7, 8, 9 og 10, som kjører på Windows XP eller Windows 7. Mens det nåværende angrepet er rettet mot den engelske versjonen av Internet Explorer 7 og 8 som kjører på både Windows XP og Windows 8, kan utnyttelsen bli endret for å målrette mot andre versjoner og språk, sa FireEye.
Uvanlig sofistikert APT
FireEye sa at denne avanserte kampanjen for vedvarende trussel (APT) bruker noen av de samme kommando- og kontrollserverne som de som ble brukt i de forrige APT-angrepene mot japanske og kinesiske mål, kjent som Operation ViceDog. Denne APT-en er uvanlig sofistikert fordi den distribuerer ondsinnet nyttelast som bare kjører i datamaskinens minne, fant FireEye. Siden den ikke skriver seg selv på disk, er det mye vanskeligere å oppdage eller finne rettsmedisinske bevis på infiserte maskiner.
FireEye sa: "Ved å bruke strategiske nettkompromisser sammen med leveringsmetoder for nyttelast i minnet og flere nestede metoder for tilsløring, har denne kampanjen vist seg å være eksepsjonelt gjennomført og unnvikende, " sa FireEye.
Men siden den diskløse skadelige programvaren er fullstendig bosatt i minnet, ser det bare å starte maskinen på nytt for å fjerne infeksjonen. Angripere ser ikke ut til å være bekymret for å være vedvarende, og antyder at angriperne er "sikre på at deres tiltenkte mål ganske enkelt ville gå tilbake til det kompromitterte nettstedet og bli infisert på nytt, " skrev FireEye-forskere.
Det betyr også at angriperne beveger seg veldig raskt, siden de trenger å bevege seg gjennom nettverket for å nå andre mål eller finne informasjonen de er ute før brukeren starter maskinen på nytt og fjerner infeksjonen. "Når angriperen kommer inn og eskalerer privilegier, kan de distribuere mange andre metoder for å etablere utholdenhet, " sa Ken Westin, en sikkerhetsforsker ved Tripwire.
Forskere ved sikkerhetsselskapet Triumfant har hevdet en økning i diskløs malware og refererer til disse angrepene som Advanced Volatile Threats (AVT).
Ikke relatert til kontorfeil
Den nyeste Internet Explorer-sårbarheten på null dager kommer på hælen etter en kritisk feil i Microsoft Office rapporterte også forrige uke. Feilen i hvordan Microsoft Windows og Office får tilgang til TIFF-bilder er ikke relatert til denne Internet Explorer-feilen. Mens angripere allerede utnytter Office-bug, er de fleste av målene for tiden i Midt-Østen og Asia. Brukere oppfordres til å installere FixIt, som begrenser datamaskinens mulighet til å åpne grafikk, mens de venter på en permanent oppdatering.
FireEye har varslet Microsoft om sårbarheten, men Microsoft har foreløpig ikke kommentert feilen. Det er enormt usannsynlig at denne feilen vil bli adressert i tide til morgendagens Patch Tuesday release.
Den siste versjonen av Microsoft EMET, Enhanced Mitigation Experience Toolkit, blokkerer vellykket angrepene som er rettet mot IE-sårbarhet, så vel som Office-en. Organisasjoner bør vurdere å installere EMET. Brukere kan også vurdere å oppgradere til versjon 11 av Internet Explorer, eller bruke andre nettlesere enn Internet Explorer til feilen er løst.
XP-problemer
Denne siste vannhullskampanjen belyser også hvordan angripere er rettet mot brukere av Windows XP. Microsoft har gjentatte ganger påminnet brukere om at det vil slutte å tilby sikkerhetsoppdateringer for Windows XP etter april 2014, og brukerne bør oppgradere til nyere versjoner av operativsystemet. Sikkerhetsforskere mener mange angripere sitter på hurtigbufferene til XP-sårbarheter og tror at det vil være en bølge av angrep rettet mot Windows XP etter at Microsoft avslutter støtten til det aldrende operativsystemet.
"Ikke forsink - oppgrader fra Windows XP til noe annet så raskt som mulig hvis du verdsetter sikkerheten din, " skrev Graham Cluley, en uavhengig sikkerhetsforsker, på bloggen sin.
