Vídeo: IE8 Zero Day (Setembre 2024)
A finals d’abril, investigadors de seguretat van descobrir una explotació a Internet Explorer 8 que permetia als atacants executar codi maliciós a l’ordinador de la víctima. El més inquietant, l'explotació s'ha trobat en estat salvatge en un lloc web del Departament de Treball (DoL) dels EUA, possiblement dirigit a treballadors amb accés a materials nuclears o altres tòxics. Aquest cap de setmana, Microsoft va confirmar que l'explotació era un nou dia zero a l'IE 8.
L’explotació
Microsoft va emetre divendres un avís de seguretat que confirma l'explotació a Internet Explorer 8 CVE-2013-1347, assenyalant que les versions 6, 7, 9 i 10 no estaven afectades.
"Aquesta és una vulnerabilitat d'execució de codi remota", va escriure Microsoft. "La vulnerabilitat existeix de la manera que Internet Explorer accedeix a un objecte de la memòria que s'ha suprimit o no s'ha assignat adequadament. La vulnerabilitat pot corrompre la memòria de manera que pugui permetre a un atacant executar codi arbitrari en el context de l'usuari actual. dins d'Internet Explorer."
"Un atacant podria allotjar un lloc web especialment dissenyat dissenyat per explotar aquesta vulnerabilitat a través d'Internet Explorer i després convèncer un usuari perquè vegi el lloc web", escriu Microsoft. Malauradament, sembla que això ja ha passat.
En la naturalesa
L'explotació va ser notificada per primera vegada a finals d'abril per l'empresa de seguretat Invincea. Van assenyalar que el lloc web de DoL semblava dirigir els visitants a un altre lloc web on hi havia instal·lada una versió del trojan de Poison Ivy al dispositiu de la víctima.
AlienVault Labs va escriure que, mentre que el programari maliciós va realitzar diverses activitats, també va escanejar l'ordinador de la víctima per determinar què hi havia, si hi havia, l'anit-virus. Segons AlienVault, el programari maliciós va comprovar el present d'Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-safe i Kasperky, entre d'altres.
Al bloc de Cisco, Craig Williams escriu, "aquesta informació servirà probablement per facilitar i assegurar l'èxit de futurs atacs".
Tot i que és difícil dir quines són les motivacions darrere de l’atac de DoL, sembla que la explotació s’hagi desplegat amb alguns objectius en ment. Williams ho va anomenar un "forat de reg", on es modifica un popular lloc web per infectar els visitants entrants, similar a l'atac als desenvolupadors que vam veure a principis d'aquest any.
Si bé el DoL era el primer pas en l'atac, sembla possible que els objectius reals fossin al Departament d'Energia, específicament als empleats amb accés a material nuclear. AlienVault escriu que el lloc web Matrice Exposure Site, que allotja informació sobre la compensació dels empleats per exposició a materials tòxics, va participar.
Williams va escriure: "Els visitants de pàgines específiques que contenien contingut relacionat amb la nuclear al lloc web del Departament de Treball també rebien contingut maliciós carregat del domini dol.ns01.us." Des de llavors s'ha reparat el lloc de DoL en qüestió.
Tingueu cura de fora
L'assessorament de Microsoft també destaca que les víctimes haurien de ser atretes a un lloc web per tal que la explotació sigui efectiva. "En tots els casos, però, un atacant no tindria cap manera d'obligar els usuaris a visitar aquests llocs web", escriu Microsoft.
Com que és possible que es tracti d'un atac objectiu, la majoria dels usuaris probablement no es trobaran amb la seva explotació. Tanmateix, si un grup d'atacadors l'utilitza un grup, és probable que també tinguin accés a la nova explotació. Com sempre, vigileu enllaços estranys i ofertes massa bones per ser veritables. En el passat, els atacants han utilitzat tàctiques d'enginyeria social com segrestar comptes de Facebook per difondre enllaços maliciosos o fer que els correus electrònics semblin que arribessin de membres de la família. És una bona idea donar a tots els enllaços una prova sniff.
Microsoft no ha anunciat quan o de quina manera es tractarà l'explotació.
