Νέα 0-day επίθεση για τον Internet explorer

[NeK]

Ερευνητές ανακαλύψαν μία νέα αδυναμία ασφαλείας, που είναι προς στιγμήν χωρίς επιδιόρθωση, σε πολλαπλές εκδόσεις του Internet Explorer που ήδη οι εγκληματίες εκμεταλλεύονται για να εκτελούν κρυφά ασυνήθιστα κακόβουλα λογισμικά σε υπολογιστές που επισκέπτονται παγιδευμένα websites.

Οι αδυναμίες σε διάφορες συνθέσεις των εκδόσεων 7, 8, 9 και 10 του IE που τρέχει σε Windows XP και Windows 7 είναι ξεχωριστές από την αδυναμία στα γραφικά των Windows και του Office που επίσης υπόκεινται αυτή τη στιγμή σε εκμετάλλευση. Σύμφωνα με ερευνητές της εταιρείας ασφαλείας FireEye, οι στοχευμένες αδυναμίες ασφαλείας του IE έρχονται ως συνηθισμένη drive-by επίθεση που απαντάται σε τουλάχιστον ένα παγιδευμένο website που βρίσκεται στις ΗΠΑ.

Τουλάχιστον δύο συμμορίες κακόβουλων χάκερ εκμεταλλεύονται την αδυναμία στο TIFF rendering για να αποκτήσουν τον έλεγχο σε υπολογιστές χρηστών.
Οι επιθέσεις έχουν την δυνατότητα να παρακάμψουν τις ολοένα και αυξανόμενες προστασίες που οι μηχανικοί της Microsoft έχουν τοποθετήσει στις τελευταίες εκδόσεις των λογισμικών τους. Τα exploit φαίνεται πως καταστρατηγούν τα μέτρα, τουλάχιστον εν μέρει, μέσω της εκμετάλλευσης τουλάχιστον δύο ξεχωριστών αδυναμιών. Μία αδυναμία επιτρέπει τους επιτιθέμενους να αποκτήσουν πρόσβαση και έλεγχο στην μνήμη υπολογιστών και μία άλλη διαρρέει πληροφορίες του συστήματος που είναι απαραίτητες για την αξιοποίηση του πρώτου bug.
"Η αδυναμία που επιτρέπει πρόσβαση στην μνήμη είναι σχεδιασμένη για να λειτουργεί σε Windows XP και Windows 7 με IE 7 και 8", γράφουν οι ερευνητές της FireEye Xiaobo Chen και Dan Caselden, στην δημοσίευσή τους που δημοσιεύθηκε την Παρασκευή. "Το exploit στοχοποιεί την Αγγλική έκδοση του Internet Explorer, αλλά πιστεύουμε ότι μπορεί εύκολα να τροποποιηθεί για να εκμεταλλεύεται και άλλες γλώσσες. Βασισμένοι στην ανάλυσή μας, η αδυναμία επηρεάζει τον IE 7, 8, 9 και 10".

Πρώιμες αναλύσεις λένε ότι οι δύο αδυναμίες λειτουργούν μόνο σε μηχανήματα που τρέχουν IE 8 σε XP και IE 9 που τρέχει σε Windows 7. Η έρευνα στις επιθέσεις είναι σε εξαιρετικά πρώιμα στάδια, συνεπώς δεν θα έκανε έκπληξη εάν η έκταση των επηρεαζόμενων συστημάτων θα μεγάλωνε μόλις η ανάλυση ολοκληρωθεί.

Μία "εξαιρετικά επιτυχημένη και φευγαλέα" επίθεση

Η FireEye έχει δημοσιεύσει νεότερες αναλύσεις για την επίθεση, δείχνοντας ότι είναι μέρος μίας ασυνήθιστα έξυπνη, προηγμένη και επίμονη απειλή (advanced persistent threat - APT). Οι επιτιθέμενοι ενσωματώνουν τον exploit κώδικα σε "ένα στρατηγικής σημασίας website, που είναι γνωστό ότι προσελκύει επισκέπτες που είναι πιθανών να ενδιαφέρονται για την εθνική και την διεθνή πολιτική ασφαλείας", γράφουν οι ερευνητές. Οι επιτιθέμενοι βασίζονται σε κάποιους από τους ίδιους τους command and control servers που χρησιμοποιήθηκαν σε μία προηγούμενη APT επίθεση, γνωστή ως Operation DeputyDog.

Αυτό που επίσης ξεχωρίζει της επιθέσεις αυτές από άλλες κακόβουλες επιθέσεις, είναι ο κακόβουλος κώδικας που εγκαταστίθεται. Αν και είναι μία παραλλαγή ενός προηγουμένως γνωστού trojan, γνωστού ως Hydraq ή McRat ή Trojan.APT.9002, ο νέος κώδικας τρέχει αποκλειστικά και μόνο στην μνήμη. Δεν γράφει ποτέ τον εαυτό του σε δίσκο, ένα χαρακτηριστικό που αφήνει απειροελάχιστα ίχνη ή σημάδια για να μπορέσουν οι διαχειριστές να εντοπίσουν και έτσι να προσδιορίσουν μολυσμένους υπολογιστές.

"Συγκεκριμένα, ο κώδικας είναι shellcode, που αποκωδικοποιείται και εγχέεται απευθείας στην μνήμη κατόπιν μίας επιτυχημένης εκμετάλλευσης μέσω μίας σειράς από βήματα", γράφουν οι ερευνητές της FireEye στη τελευταία τους δημοσίευση. "Αξιοποιώντας στρατηγικές Web μολύνσεις μαζί με την τακτική παράδοσης του κώδικα στη μνήμη και πολλαπλών σύνθετων μεθόδων απόκρυψης του κώδικα (code obfuscation), αυτή η επίθεση έχει αποδειχθεί ότι είναι εξαιρετικά επιτυχής και φευγαλέα".

Όπως συνήθως γίνεται, οι επιθέσεις μπορούν να μπλοκαριστούν με την εγκατάσταση της τελευταίας έκδοσης του Microsoft EMET (Enhanced Mitigation Experience Toolkit). Τα μέλη της ομάδας "κρούσης" (security response team) της Microsoft δεν έχουν ακόμα σχολιάσει την αναφορά, αν και είναι πιθανών να το κάνουν σύντομα. Εκπρόσωποι της Microsoft επικοινώνησαν με το Ars και είπαν ότι μέλη της ομάδας ασφαλείας της εταιρείας κοιτάνε ακόμα την αναφορά.

Η FireEye δεν έδωσε λεπτομέρειες για το αμερικάνικο website που ήταν παγιδευμένο με αυτό το exploit, εκτός από το να το περιγράψουν ως "παραβιασμένο", που σημαίνει ότι η επιτιθέμενοι κατάφεραν να αποκτήσουν τον έλεγχό του και να το παγιδεύσουν να επιτίθεται στους επισκέπτες του. Βάση της περιγραφής του exploit και τις δυνατότητές του να παρακάμπτει τις προστασίες των Windows και του IE, είναι λογικό ότι οι επιτιθέμενοι έβαλαν αρκετό χρόνο, κόπο και δεξιότητα στην δουλειά τους. Μεταξύ άλλων, ο επιτιθέμενος κώδικας εκμεταλλεύεται μία "νέα αδυναμία διαρροής πληροφορίας και μία αδυναμία out-of-bounds προσπέλασης στην μνήμη του IE" ώστε να αναγκάσει τους υπολογιστές να εκτελέσουν τον κακόβουλο κώδικα.

"Η διαρροή πληροφοριών χρησιμοποιεί μία πολύ ενδιαφέρουσα αδυναμία για να ανακτήσει την χρονική σφραγίδα των επικεφαλίδων του εκτελέσιμου αρχείου msvcrt.dll", εξηγούν οι FireEye ερευνητές. "Η χρονική σφραγίδα στέλνεται πίσω στον server του επιτιθέμενου για να επιλέξει το exploit με την ROP chain που είναι σχεδιασμένο για την συγκεκριμένη έκδοση του msvcrt.dll. Αυτή η αδυναμία επηρεάζει τα Windows XP με IE 8 και τα Windows 7 με IE 9".

Το ROP σημαίνει Return Oriented Programming, μία τεχνική που επαναπακετάρει άκακο κώδικα που βρίσκεται σε μία μολυσμένη εφαρμογή με τρόπο τέτοιο που της δίνει κακόβουλες δυνατότητες. Οι επιτιθέμενοι χρησιμοποιούν ROP chains για να παρακάμψουν τη Data Execution Prevention προστασία ασφαλείας που υπάρχει στις περισσότερες εφαρμογές της Microsoft τα τελευταία περίπου 7 χρόνια. Αποτρέπει τα περισσότερα από τα δεδομένα που φορτώνονται στην μνήμη από το να μπορούν να εκτελεστούν.

Με την ενεργή κυκλοφορία στο internet τουλάχιστον δύο επιθέσεων που επιτυχώς εκμεταλλέυονται μη επιδιορθωμένες ή προσωρινά επιδιορθωμένες αδυναμίες σε λογισμικά της Microsoft που χρησιμοποιούνται ευρέως, καλό θα είναι όσοι μας διαβάζετε να είστε σε επιφυλακή. Όσοι δεν έχετε ήδη εγκαταστήσει την προσωρινή επιδιόρθωση για την προηγούμενη αδυναμία στο TIFF rendering, να το κάνετε άμεσα. Οι χρήστες θα πρέπει να αναβαθμίσουν τα Windows σε 7 ή 8 και να τρέχουν την έκδοση 11 του Internet Explorer. Το EMET είναι επίσης μία αξιόλογη λύση, όπως και το να χρησιμοποιείτε έναν άλλον browser εκτός του IE, όσο αυτό είναι δυνατό, μέχρι να γίνουν γνωστές περισσότερες πληροφορίες για το εύρος του πεδίου των επιθέσεων.

Πηγή: Ars Technica

[senkradvii]

LoL ωραία επιλογή εικόνας. Να συνεισφέρω και εγώ με την σειρά μου, για τον κατά τα άλλα φανταστικό ΙΕ.

[GeoMint]

Ερευνητές ανακαλύψαν μία νέα αδυναμία ασφαλείας, που είναι προς στιγμήν χωρίς επιδιόρθωση, σε πολλαπλές εκδόσεις του Internet Explorer που ήδη οι εγκληματίες εκμεταλλεύονται για να εκτελούν κρυφά ασυνήθιστα κακόβουλα λογισμικά σε υπολογιστές που επισκέπτονται παγιδευμένα websites.

Οι αδυναμίες σε διάφορες συνθέσεις των εκδόσεων 7, 8, 9 και 10 του IE που τρέχει σε Windows XP και Windows 7 είναι ξεχωριστές από την αδυναμία στα γραφικά των Windows και του Office που επίσης υπόκεινται αυτή τη στιγμή σε εκμετάλλευση. Σύμφωνα με ερευνητές της εταιρείας ασφαλείας FireEye, οι στοχευμένες αδυναμίες ασφαλείας του IE έρχονται ως συνηθισμένη drive-by επίθεση που απαντάται σε τουλάχιστον ένα παγιδευμένο website που βρίσκεται στις ΗΠΑ.

Το χειροτερο ειναι οτι για να κολλησεις τον γνωστο "ιο" της αστυνομιας πρεπει να εισαι απο IE

[A_gamer]

Αν το Trojan είναι στη RAM μόνο, τότε δεν είναι εύκολο να φύγει με restart;

- - - Updated - - -

LoL ωραία επιλογή εικόνας. Να συνεισφέρω και εγώ με την σειρά μου, για τον κατά τα άλλα φανταστικό ΙΕ.

[Helix]

Υπάρχουν άνθρωποι που χρησιμοποιούν ακόμη Internet Explorer;

[senkradvii]

Υπάρχουν άνθρωποι που χρησιμοποιούν ακόμη Internet Explorer;

Eγώ αναγκαστικά στην δουλειά για να τρέχω το πρόγραμμα μηχανογράφησης το οποίο τρέχει από πίσω Access.

[ipo]

Για τα XP και τα Vista υπάρχει πράγματι πρόβλημα. Όσοι όμως έχουν Windows 7 ή 8, δεν έχουν πρόβλημα, αν έχουν φροντίσει να εγκαταστήσουν τον Internet Explorer 11.

[talos_2002]

Όπως σε όλους τους browser βγαίνουν συνεχώς ενημερώσεις για να καλύψουν, ανάμεσα σε άλλα, και προβλήματα ασφαλείας, έτσι γίνεται και στον IE.
Αν από 'κει και πέρα οι χρήστες αμελούν να τον ενημερώσουν, είναι σαν να λέμε σήμερα ότι βρέθηκε πρόβλημα ασφαλείας στον Firefox 3 ή τον Opera 9.

[Helix]

Όπως σε όλους τους browser βγαίνουν συνεχώς ενημερώσεις για να καλύψουν, ανάμεσα σε άλλα, και προβλήματα ασφαλείας, έτσι γίνεται και στον IE.
Αν από 'κει και πέρα οι χρήστες αμελούν να τον ενημερώσουν, είναι σαν να λέμε σήμερα ότι βρέθηκε πρόβλημα ασφαλείας στον Firefox 3 ή τον Opera 9.

Δεν είναι το ίδιο. Ο τελευταίος Firefox και Opera τρέχουν σε XP/Vista, αντίθετα, όπως ανέφερε και ο Ipo, δεν συμβαίνει το ίδιο με τον Internet Explorer 11.

[raidenfreeman]

Όπως σε όλους τους browser βγαίνουν συνεχώς ενημερώσεις για να καλύψουν, ανάμεσα σε άλλα, και προβλήματα ασφαλείας, έτσι γίνεται και στον IE.
Αν από 'κει και πέρα οι χρήστες αμελούν να τον ενημερώσουν, είναι σαν να λέμε σήμερα ότι βρέθηκε πρόβλημα ασφαλείας στον Firefox 3 ή τον Opera 9.

Μιλάμε για 0-day exploit. Δεν υπάρχει ενημέρωση που να το καλύπτει.

[talos_2002]

Το καλύπτει η έκδοση 11.

[aiolos.01]

Για τα XP και τα Vista υπάρχει πράγματι πρόβλημα. Όσοι όμως έχουν Windows 7 ή 8, δεν έχουν πρόβλημα, αν έχουν φροντίσει να εγκαταστήσουν τον Internet Explorer 11.

Είναι λίγο μπάχαλο η υπόθεση. Εγώ χτες διάβαζα οτι ακόμα και στα 7 κάποιες εκδόσεις του office έχουν πρόβλημα έστω και αν δεν έχει ο ΙΕ.

[konenas]

Να γιατί βγήκε η Μ4 και είπε ότι είναι επικίνδυνα τα EOL προϊόντα της.
ή αλλιώς
Αγοράστε 8.1 ΟΛΟΙ ΤΩΡΑ

[nothing]

με xp αλλα χωρις να χρησιμοποιεις ποτε iexplorer υπαρχει κινδυνος στο συγκεκριμενο θεμα?
δηλαδη ειναι τοσο δεμενο με το λειτουργικο που παροτι δεν τον ανοιγεις ποτε τα exploits να μπορουν να κανουν ζημια ουτως ή αλλως?

[konenas]

με xp αλλα χωρις να χρησιμοποιεις ποτε iexplorer υπαρχει κινδυνος στο συγκεκριμενο θεμα?
δηλαδη ειναι τοσο δεμενο με το λειτουργικο που παροτι δεν τον ανοιγεις ποτε τα exploits να μπορουν να κανουν ζημια ουτως ή αλλως?

Δυστυχώς.