Ερευνητές ανακαλύψαν μία νέα αδυναμία ασφαλείας, που είναι προς στιγμήν χωρίς επιδιόρθωση, σε πολλαπλές εκδόσεις του Internet Explorer που ήδη οι εγκληματίες εκμεταλλεύονται για να εκτελούν κρυφά ασυνήθιστα κακόβουλα λογισμικά σε υπολογιστές που επισκέπτονται παγιδευμένα websites.
Οι αδυναμίες σε διάφορες συνθέσεις των εκδόσεων 7, 8, 9 και 10 του IE που τρέχει σε Windows XP και Windows 7 είναι ξεχωριστές από την αδυναμία στα γραφικά των Windows και του Office που επίσης υπόκεινται αυτή τη στιγμή σε εκμετάλλευση. Σύμφωνα με ερευνητές της εταιρείας ασφαλείας FireEye, οι στοχευμένες αδυναμίες ασφαλείας του IE έρχονται ως συνηθισμένη drive-by επίθεση που απαντάται σε τουλάχιστον ένα παγιδευμένο website που βρίσκεται στις ΗΠΑ.
Τουλάχιστον δύο συμμορίες κακόβουλων χάκερ εκμεταλλεύονται την αδυναμία στο TIFF rendering για να αποκτήσουν τον έλεγχο σε υπολογιστές χρηστών.
Οι επιθέσεις έχουν την δυνατότητα να παρακάμψουν τις ολοένα και αυξανόμενες προστασίες που οι μηχανικοί της Microsoft έχουν τοποθετήσει στις τελευταίες εκδόσεις των λογισμικών τους. Τα exploit φαίνεται πως καταστρατηγούν τα μέτρα, τουλάχιστον εν μέρει, μέσω της εκμετάλλευσης τουλάχιστον δύο ξεχωριστών αδυναμιών. Μία αδυναμία επιτρέπει τους επιτιθέμενους να αποκτήσουν πρόσβαση και έλεγχο στην μνήμη υπολογιστών και μία άλλη διαρρέει πληροφορίες του συστήματος που είναι απαραίτητες για την αξιοποίηση του πρώτου bug.
"Η αδυναμία που επιτρέπει πρόσβαση στην μνήμη είναι σχεδιασμένη για να λειτουργεί σε Windows XP και Windows 7 με IE 7 και 8", γράφουν οι ερευνητές της FireEye Xiaobo Chen και Dan Caselden, στην δημοσίευσή τους που δημοσιεύθηκε την Παρασκευή. "Το exploit στοχοποιεί την Αγγλική έκδοση του Internet Explorer, αλλά πιστεύουμε ότι μπορεί εύκολα να τροποποιηθεί για να εκμεταλλεύεται και άλλες γλώσσες. Βασισμένοι στην ανάλυσή μας, η αδυναμία επηρεάζει τον IE 7, 8, 9 και 10".
Πρώιμες αναλύσεις λένε ότι οι δύο αδυναμίες λειτουργούν μόνο σε μηχανήματα που τρέχουν IE 8 σε XP και IE 9 που τρέχει σε Windows 7. Η έρευνα στις επιθέσεις είναι σε εξαιρετικά πρώιμα στάδια, συνεπώς δεν θα έκανε έκπληξη εάν η έκταση των επηρεαζόμενων συστημάτων θα μεγάλωνε μόλις η ανάλυση ολοκληρωθεί.
Μία "εξαιρετικά επιτυχημένη και φευγαλέα" επίθεση
Η FireEye έχει δημοσιεύσει νεότερες αναλύσεις για την επίθεση, δείχνοντας ότι είναι μέρος μίας ασυνήθιστα έξυπνη, προηγμένη και επίμονη απειλή (advanced persistent threat - APT). Οι επιτιθέμενοι ενσωματώνουν τον exploit κώδικα σε "ένα στρατηγικής σημασίας website, που είναι γνωστό ότι προσελκύει επισκέπτες που είναι πιθανών να ενδιαφέρονται για την εθνική και την διεθνή πολιτική ασφαλείας", γράφουν οι ερευνητές. Οι επιτιθέμενοι βασίζονται σε κάποιους από τους ίδιους τους command and control servers που χρησιμοποιήθηκαν σε μία προηγούμενη APT επίθεση, γνωστή ως Operation DeputyDog.
Αυτό που επίσης ξεχωρίζει της επιθέσεις αυτές από άλλες κακόβουλες επιθέσεις, είναι ο κακόβουλος κώδικας που εγκαταστίθεται. Αν και είναι μία παραλλαγή ενός προηγουμένως γνωστού trojan, γνωστού ως Hydraq ή McRat ή Trojan.APT.9002, ο νέος κώδικας τρέχει αποκλειστικά και μόνο στην μνήμη. Δεν γράφει ποτέ τον εαυτό του σε δίσκο, ένα χαρακτηριστικό που αφήνει απειροελάχιστα ίχνη ή σημάδια για να μπορέσουν οι διαχειριστές να εντοπίσουν και έτσι να προσδιορίσουν μολυσμένους υπολογιστές.
"Συγκεκριμένα, ο κώδικας είναι shellcode, που αποκωδικοποιείται και εγχέεται απευθείας στην μνήμη κατόπιν μίας επιτυχημένης εκμετάλλευσης μέσω μίας σειράς από βήματα", γράφουν οι ερευνητές της FireEye στη τελευταία τους δημοσίευση. "Αξιοποιώντας στρατηγικές Web μολύνσεις μαζί με την τακτική παράδοσης του κώδικα στη μνήμη και πολλαπλών σύνθετων μεθόδων απόκρυψης του κώδικα (code obfuscation), αυτή η επίθεση έχει αποδειχθεί ότι είναι εξαιρετικά επιτυχής και φευγαλέα".
Όπως συνήθως γίνεται, οι επιθέσεις μπορούν να μπλοκαριστούν με την εγκατάσταση της τελευταίας έκδοσης του Microsoft EMET (Enhanced Mitigation Experience Toolkit). Τα μέλη της ομάδας "κρούσης" (security response team) της Microsoft δεν έχουν ακόμα σχολιάσει την αναφορά, αν και είναι πιθανών να το κάνουν σύντομα. Εκπρόσωποι της Microsoft επικοινώνησαν με το Ars και είπαν ότι μέλη της ομάδας ασφαλείας της εταιρείας κοιτάνε ακόμα την αναφορά.
Η FireEye δεν έδωσε λεπτομέρειες για το αμερικάνικο website που ήταν παγιδευμένο με αυτό το exploit, εκτός από το να το περιγράψουν ως "παραβιασμένο", που σημαίνει ότι η επιτιθέμενοι κατάφεραν να αποκτήσουν τον έλεγχό του και να το παγιδεύσουν να επιτίθεται στους επισκέπτες του. Βάση της περιγραφής του exploit και τις δυνατότητές του να παρακάμπτει τις προστασίες των Windows και του IE, είναι λογικό ότι οι επιτιθέμενοι έβαλαν αρκετό χρόνο, κόπο και δεξιότητα στην δουλειά τους. Μεταξύ άλλων, ο επιτιθέμενος κώδικας εκμεταλλεύεται μία "νέα αδυναμία διαρροής πληροφορίας και μία αδυναμία out-of-bounds προσπέλασης στην μνήμη του IE" ώστε να αναγκάσει τους υπολογιστές να εκτελέσουν τον κακόβουλο κώδικα.
"Η διαρροή πληροφοριών χρησιμοποιεί μία πολύ ενδιαφέρουσα αδυναμία για να ανακτήσει την χρονική σφραγίδα των επικεφαλίδων του εκτελέσιμου αρχείου msvcrt.dll", εξηγούν οι FireEye ερευνητές. "Η χρονική σφραγίδα στέλνεται πίσω στον server του επιτιθέμενου για να επιλέξει το exploit με την ROP chain που είναι σχεδιασμένο για την συγκεκριμένη έκδοση του msvcrt.dll. Αυτή η αδυναμία επηρεάζει τα Windows XP με IE 8 και τα Windows 7 με IE 9".
Το ROP σημαίνει Return Oriented Programming, μία τεχνική που επαναπακετάρει άκακο κώδικα που βρίσκεται σε μία μολυσμένη εφαρμογή με τρόπο τέτοιο που της δίνει κακόβουλες δυνατότητες. Οι επιτιθέμενοι χρησιμοποιούν ROP chains για να παρακάμψουν τη Data Execution Prevention προστασία ασφαλείας που υπάρχει στις περισσότερες εφαρμογές της Microsoft τα τελευταία περίπου 7 χρόνια. Αποτρέπει τα περισσότερα από τα δεδομένα που φορτώνονται στην μνήμη από το να μπορούν να εκτελεστούν.
Με την ενεργή κυκλοφορία στο internet τουλάχιστον δύο επιθέσεων που επιτυχώς εκμεταλλέυονται μη επιδιορθωμένες ή προσωρινά επιδιορθωμένες αδυναμίες σε λογισμικά της Microsoft που χρησιμοποιούνται ευρέως, καλό θα είναι όσοι μας διαβάζετε να είστε σε επιφυλακή. Όσοι δεν έχετε ήδη εγκαταστήσει την προσωρινή επιδιόρθωση για την προηγούμενη αδυναμία στο TIFF rendering, να το κάνετε άμεσα. Οι χρήστες θα πρέπει να αναβαθμίσουν τα Windows σε 7 ή 8 και να τρέχουν την έκδοση 11 του Internet Explorer. Το EMET είναι επίσης μία αξιόλογη λύση, όπως και το να χρησιμοποιείτε έναν άλλον browser εκτός του IE, όσο αυτό είναι δυνατό, μέχρι να γίνουν γνωστές περισσότερες πληροφορίες για το εύρος του πεδίου των επιθέσεων.
Πηγή: Ars Technica
Εμφάνιση 1-15 από 17
-
11-11-13, 17:53 Νέα 0-day επίθεση για τον Internet explorer #1
-
11-11-13, 18:31 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #2
-
11-11-13, 18:35 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #3
-
11-11-13, 18:53 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #4
-
11-11-13, 19:12 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #5
Υπάρχουν άνθρωποι που χρησιμοποιούν ακόμη Internet Explorer;
-
11-11-13, 19:17 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #6
-
11-11-13, 22:15 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #7
Για τα XP και τα Vista υπάρχει πράγματι πρόβλημα. Όσοι όμως έχουν Windows 7 ή 8, δεν έχουν πρόβλημα, αν έχουν φροντίσει να εγκαταστήσουν τον Internet Explorer 11.
Τελευταία επεξεργασία από το μέλος ipo : 11-11-13 στις 22:22.
Προπληρωμένες κάρτες ........... 2 savings 4 safety
Τι εστί IBAN, BIC, OUR, SHA, BEN;
"Yesterday is History, Tomorrow a Mystery, Today is a Gift, Thats why it's called the Present."
-
11-11-13, 23:05 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #8
Όπως σε όλους τους browser βγαίνουν συνεχώς ενημερώσεις για να καλύψουν, ανάμεσα σε άλλα, και προβλήματα ασφαλείας, έτσι γίνεται και στον IE.
Αν από 'κει και πέρα οι χρήστες αμελούν να τον ενημερώσουν, είναι σαν να λέμε σήμερα ότι βρέθηκε πρόβλημα ασφαλείας στον Firefox 3 ή τον Opera 9.Κάνε το καλό και άσε το WiFi της γιαγιάς ανοικτό :)
Για να μη χαλάει η μπαταρία του κινητού όταν φορτίζει όλο το βράδυ: DreamLab
Δικαίωμα δικού σου modem-router
-
11-11-13, 23:09 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #9
-
12-11-13, 00:22 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #10
-
12-11-13, 03:18 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #11
Το καλύπτει η έκδοση 11.
Κάνε το καλό και άσε το WiFi της γιαγιάς ανοικτό :)
Για να μη χαλάει η μπαταρία του κινητού όταν φορτίζει όλο το βράδυ: DreamLab
Δικαίωμα δικού σου modem-router
-
12-11-13, 04:48 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #12
-
12-11-13, 13:15 Απάντηση: Νέα 0-day επίθεση για τον Internet explorer #13
Να γιατί βγήκε η Μ4 και είπε ότι είναι επικίνδυνα τα EOL προϊόντα της.
ή αλλιώς
Αγοράστε 8.1 ΟΛΟΙ ΤΩΡΑΌσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
-
12-11-13, 13:52 Re: Νέα 0-day επίθεση για τον Internet explorer #14
με xp αλλα χωρις να χρησιμοποιεις ποτε iexplorer υπαρχει κινδυνος στο συγκεκριμενο θεμα?
δηλαδη ειναι τοσο δεμενο με το λειτουργικο που παροτι δεν τον ανοιγεις ποτε τα exploits να μπορουν να κανουν ζημια ουτως ή αλλως?
-
12-11-13, 19:10 Απάντηση: Re: Νέα 0-day επίθεση για τον Internet explorer #15Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
Παρόμοια Θέματα
-
Η Microsoft ετοιμάζει επείγον security update για vulnerabillity που επηρεάζει όλες τις εκδόσεις του Internet Explorer
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 14Τελευταίο Μήνυμα: 19-09-13, 09:17 -
AdBlock Plus: Κυκλοφορεί πλέον και για τον Internet Explorer
Από DJG στο φόρουμ ΕιδήσειςΜηνύματα: 32Τελευταίο Μήνυμα: 25-06-13, 20:23 -
Ενεργοποίηση του flash από την Microsoft στον Internet Explorer 10 Modern UI
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 3Τελευταίο Μήνυμα: 14-03-13, 01:57 -
Exploit στον Internet Explorer μπορεί να παρακολουθεί τις κινήσεις του δείκτη του ποντικιού
Από Seitman στο φόρουμ ΕιδήσειςΜηνύματα: 25Τελευταίο Μήνυμα: 16-12-12, 10:13 -
internet Explorer 9
Από pnts στο φόρουμ WindowsΜηνύματα: 2Τελευταίο Μήνυμα: 27-11-12, 20:01
Bookmarks