Video: IE8 Zero Day (Settembre 2024)
Alla fine di aprile, i ricercatori della sicurezza hanno scoperto un exploit in Internet Explorer 8 che ha permesso agli aggressori di eseguire codice dannoso sul computer di una vittima. Più preoccupante, l'exploit è stato trovato in natura su un sito Web del Dipartimento del Lavoro (DoL) degli Stati Uniti, probabilmente destinato a lavoratori con accesso a materiali nucleari o altri materiali tossici. Questo fine settimana, Microsoft ha confermato che l'exploit era un nuovo zero-day in IE 8.
L'exploit
Venerdì, Microsoft ha pubblicato un avviso di sicurezza confermando l'exploit in Internet Explorer 8 CVE-2013-1347, rilevando che le versioni 6, 7, 9 e 10 non erano interessate.
"Questa è una vulnerabilità legata all'esecuzione di codice in modalità remota", ha scritto Microsoft. "La vulnerabilità esiste nel modo in cui Internet Explorer accede a un oggetto in memoria che è stato eliminato o non è stato allocato correttamente. La vulnerabilità può corrompere la memoria in modo tale da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente all'interno di Internet Explorer ".
"Un utente malintenzionato potrebbe ospitare un sito Web appositamente progettato, progettato per sfruttare questa vulnerabilità tramite Internet Explorer e quindi convincere un utente a visualizzare il sito Web", scrive Microsoft. Sfortunatamente, questo sembra essere già successo.
Nella natura selvaggia
L'exploit è stato notato per la prima volta a fine aprile dalla società di sicurezza Invincea. Hanno notato che il sito Web DoL sembra reindirizzare i visitatori su un altro sito Web in cui una variante del Poison Ivy Trojan è stata installata sul dispositivo della vittima.
AlienVault Labs ha scritto che mentre il malware eseguiva una serie di attività, scansionava anche il computer della vittima per determinare quale, se del caso, fosse presente un virus anit. Secondo AlienVault, il malware ha verificato, tra gli altri, i software Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure e Kasperky.
Sul blog Cisco, scrive Craig Williams, "queste informazioni saranno probabilmente utilizzate per facilitare e garantire il successo di attacchi futuri".
Mentre è difficile dire quali siano le motivazioni dietro l'attacco DoL, l'exploit sembra essere stato schierato con alcuni obiettivi in mente. Williams lo ha definito un attacco "watering hole", in cui un sito Web popolare viene modificato per infettare i visitatori in arrivo, simile all'attacco agli sviluppatori che abbiamo visto all'inizio di quest'anno.
Mentre il DoL è stato il primo passo dell'attacco, sembra possibile che gli obiettivi reali fossero al Dipartimento dell'Energia, in particolare i dipendenti con accesso al materiale nucleare. AlienVault scrive che è stato coinvolto il sito Web Site Exposure Matrices che ospita informazioni sul compenso dei dipendenti per l'esposizione a materiali tossici.
Williams ha scritto: "I visitatori di pagine specifiche che ospitano contenuti relativi al nucleare nel sito Web del Dipartimento del Lavoro hanno anche ricevuto contenuti dannosi caricati dal dominio dol.ns01.us." Da allora il sito DoL in questione è stato riparato.
Stai attento là fuori
L'advisory di Microsoft rileva inoltre che le vittime dovrebbero essere attirate su un sito Web per rendere efficace l'exploit. "In tutti i casi, tuttavia, un utente malintenzionato non avrebbe modo di costringere gli utenti a visitare questi siti Web", scrive Microsoft.
Poiché è possibile che si tratti di un attacco mirato, la maggior parte degli utenti probabilmente non incontrerà l'exploit da soli. Tuttavia, se viene utilizzato da un gruppo di aggressori, è probabile che anche altri abbiano accesso al nuovo exploit. Come sempre, fai attenzione ai link strani e alle offerte troppo buone per essere vere. In passato, gli aggressori hanno utilizzato tattiche di ingegneria sociale come dirottare account Facebook per diffondere collegamenti dannosi o far apparire le e-mail dai membri della famiglia. È una buona idea dare a ogni link un test sniff.
Microsoft non ha annunciato quando o come verrà affrontato l'exploit.
