Vídeo: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (Setembre 2024)
Els investigadors d'Exodus Intelligence van informar de ser capaç d'evitar la solució Fix-It que Microsoft havia publicat dilluns per la darrera vulnerabilitat de zero dies a Internet Explorer.
Mentre que el Fix-It va bloquejar la ruta exacta d’atac que es va utilitzar en l’atac contra el Consell al lloc web de Relacions Exteriors, els investigadors van poder “obviar la correcció i comprometre un sistema totalment parcat amb una variació de l’explotació”, segons la publicació de divendres al. el bloc de l'Èxode.
Segons Microsoft ha informat de la nova explotació. Els investigadors de l'èxode van dir que no divulgarien cap detall de la seva explotació fins que Microsoft no pugi el forat.
La correcció estava destinada a ser una correcció temporal mentre que l'empresa treballava en el pedaç complet per tancar l'actualització de seguretat. Microsoft no ha dit quan estaria disponible l’actualització completa d’Internet Explorer i no s’espera que s’inclogui a la publicació prevista de dimarts de Patch de la setmana que ve.
Els usuaris haurien de descarregar i instal·lar la caixa d’eines de Microsoft Enhanced Mitigation Experience 3.5 “com una eina més per ajudar a defensar els sistemes de Windows contra diversos atacs”, va escriure Guy Bruneau al institut de SANS Institute al bloc Internet Storm Center. En una publicació anterior de l'ISC s'havia demostrat com EMET 3.5 podria bloquejar els atacs dirigits a la vulnerabilitat de IE.
S'han trobat més llocs compromesos
Els investigadors de FireEye van identificar per primera vegada el defecte del dia zero quan van trobar que el lloc web del Consell a Relacions Exteriors s’havia vist compromès i estava donant servei a arxius Flash maliciosos per a visitants insospitats. Resulta que altres llocs polítics, socials i de drets humans als EUA, Rússia, la Xina i Hong Kong també han estat infectats i estaven distribuint programari maliciós.
L'atac al CFR pot haver començat tan aviat com el 7 de desembre, va dir FireEye. Els atacants van utilitzar avui.swf, un malintencionat fitxer Adobe Flash, per llançar un atac de spray heap contra IE que permetia a l'atacant executar de forma remota el codi a l'ordinador infectat.
Els investigadors d’Avast van dir que dos llocs de drets humans xinesos, un lloc de diari de Hong Kong i un lloc de ciències russes s’havien modificat per distribuir un Flash que explotava la vulnerabilitat a Internet Explorer 8. L’investigador de seguretat Eric Romang va trobar el mateix atac al lloc web del fabricant de caprotagines Capstone Turbine Corporation., així com al lloc que pertany al grup de dissidents xinesos Uygur Haber Ajanski. La turbina càpsula podria estar infectada fins al 17 de desembre.
Romang va dir que Capstone Turbine s'havia modificat per distribuir programari maliciós que explotava una vulnerabilitat diferent del dia zero.
"Potencialment els nois darrere del CVE-2012-4969 i CVE-2012-4792 són els mateixos", va escriure Romang.
Els investigadors de Symantec han relacionat els últims atacs amb el grup Elderwood que ha utilitzat altres defectes del dia zero per llançar atacs similars en el passat. El grup va tornar a utilitzar components de la plataforma "Elderwood" i va distribuir fitxers Flash similars a les seves víctimes, va dir Symantec. Symantec va dir que el malintencionat fitxer Flash que va infectar als visitants de Capston Turbine tenia diverses similituds amb el fitxer Flash utilitzat anteriorment per la banda Elderwood en altres atacs.
"Ha quedat clar que el grup que hi ha darrere del projecte Elderwood continua produint noves vulnerabilitats del dia zero per al seu ús en atacs per regar forats i esperem que continuïn fent-ho durant l'any nou", segons Symantec.
