Vídeo: Internet Explorer Zero-Day Vulnerability Under Active Attack (Setembre 2024)
Els atacants exploten serioses vulnerabilitats a Internet Explorer en un atac de recs, van advertir investigadors de la firma de seguretat FireEye. Els usuaris enganyats per accedir al lloc web infectat es veuen afectats amb programari maliciós que infecta la memòria de l'ordinador en un atac clàssic.
Els atacants han incrustat el codi maliciós que explota almenys dos defectes del dia zero a Internet Explorer en "un lloc web important estratègicament, conegut per atraure visitants que probablement estiguin interessats en la política de seguretat nacional i internacional", va dir FireEye en la seva anàlisi de la setmana passada. FireEye no va identificar el lloc més enllà del fet que es basés als Estats Units.
"L'explotació utilitza una nova vulnerabilitat de fuites d'informació i una vulnerabilitat d'accés a la memòria fora de límits de l'IE per aconseguir l'execució de codi", van escriure els investigadors de FireEye. "Es tracta d'una vulnerabilitat que s'explota de diferents maneres."
Les vulnerabilitats estan presents a Internet Explorer 7, 8, 9 i 10, que s’executen a Windows XP o Windows 7. Mentre que l’atac actual s’adreça a la versió anglesa d’Internet Explorer 7 i 8 que s’executa tant a Windows XP com a Windows 8, l’explotació podria es canviarà per orientar-se a altres versions i idiomes, va dir FireEye.
APT inusualment sofisticat
FireEye va dir que aquesta campanya avançada d’amenaça persistent (APT) està utilitzant alguns dels mateixos servidors de comandament i control que els que s’utilitzaven en els atacs anteriors d’APT contra objectius japonesos i xinesos, coneguts com a Operation DeputyDog. Aquest APT és inusualment sofisticat, ja que distribueix una càrrega útil maliciosa que només funciona a la memòria de l'ordinador. Com que no s'escriu a un disc, és molt més difícil detectar o trobar proves forenses en màquines infectades.
"Mitjançant els compromisos estratègics web juntament amb les tàctiques de lliurament de càrregues útils a la memòria i diversos mètodes d'ofuscació imbricats, aquesta campanya ha demostrat ser excepcionalment realitzada i evasiva", va dir FireEye.
Tanmateix, com que el programari maliciós sense disc és completament resident a la memòria, sembla que reinicieu la màquina per eliminar la infecció. Els atacants no semblen estar preocupats per ser persistents, cosa que suggereix que els atacants estan "segurs que els objectius previstos simplement revisin el lloc web compromès i es re-infectessin", van escriure investigadors de FireEye.
També significa que els atacants es mouen molt ràpidament, ja que necessiten moure's per la xarxa per assolir altres objectius o trobar la informació que es troba després que l'usuari reinicie la màquina i elimini la infecció. "Una vegada que l'atacant entra i escali privilegis, pot desplegar molts altres mètodes per establir la persistència", va dir Ken Westin, investigador de seguretat de Tripwire.
Els investigadors de la companyia de seguretat Triumfant han reclamat un augment de programari maliciós sense disc i es refereixen a aquests atacs com a Amenaçes Volàtils Avançades (AVT).
No relacionat amb Office Flaw
L'última vulnerabilitat del dia zero de l'Internet Explorer es produeix en un problema crític a Microsoft Office que també va informar la setmana passada. El defecte en com Microsoft Windows i Office accedeixen a les imatges TIFF no tenen relació amb aquest error d'Internet Explorer. Mentre que els atacants ja exploten l'error d'Office, actualment la majoria dels objectius es troben a l'Orient Mitjà i Àsia. Es recomana als usuaris que instal·lin el FixIt, que limita la capacitat de l’ordinador d’obrir gràfics, mentre esperen un pegat permanent.
FireEye ha notificat a Microsoft la vulnerabilitat, però Microsoft encara no ha comentat públicament el defecte. És extremadament poc probable que aquest error es tractés a temps per a la publicació del dimarts de Patch Tuesday.
La versió més recent de Microsoft EMET, el conjunt d’eines de millora de l’experiència de mitigació, bloqueja els atacs dirigits a les vulnerabilitats d’IE, així com l’Office. Les organitzacions haurien de considerar la instal·lació de EMET. Els usuaris també poden considerar l'actualització a la versió 11 d'Internet Explorer o utilitzar navegadors diferents d'Internet Explorer fins que s'hagi solucionat l'error.
Problemes XP
Aquesta darrera campanya dels forats de reg també posa en relleu com els atacants s’orienten als usuaris de Windows XP. Microsoft ha recordat repetidament als usuaris que deixarà de proporcionar actualitzacions de seguretat per a Windows XP després d'abril de 2014 i que els usuaris haurien d'actualitzar a versions més noves del sistema operatiu. Els investigadors de seguretat creuen que molts atacants s’assenten a les memòries de vulnerabilitats de XP i creuen que hi haurà una onada d’atacs dirigits a Windows XP després que Microsoft acabi amb el suport del sistema operatiu envellit.
"No endarrereu-la: actualitzeu de Windows XP a una altra cosa tan aviat com sigui possible si valoreu la vostra seguretat", va escriure Graham Cluley, investigador de seguretat independent al seu bloc.
