Video: Ethical Hacking: IE Zero Day Exploit (Settembre 2024)
Gli aggressori stanno sfruttando serie vulnerabilità in Internet Explorer in un attacco da abbeveratoio, hanno avvertito i ricercatori della società di sicurezza FireEye. Gli utenti indotti ad accedere al sito Web infetto vengono colpiti da malware che infetta la memoria del computer in un classico attacco drive-by.
Gli aggressori hanno incorporato il codice dannoso che sfrutta almeno due difetti zero-day in Internet Explorer in "un sito Web strategicamente importante, noto per attirare visitatori che sono probabilmente interessati alla politica di sicurezza nazionale e internazionale", ha dichiarato FireEye nella sua analisi la scorsa settimana. FireEye non ha identificato il sito oltre al fatto che era basato negli Stati Uniti.
"L'exploit sfrutta una nuova vulnerabilità di perdita di informazioni e una vulnerabilità di accesso alla memoria fuori limite di IE per ottenere l'esecuzione di codice", hanno scritto i ricercatori di FireEye. "È una vulnerabilità sfruttata in vari modi."
Le vulnerabilità sono presenti in Internet Explorer 7, 8, 9 e 10, in esecuzione su Windows XP o Windows 7. Mentre l'attuale attacco ha come obiettivo la versione inglese di Internet Explorer 7 e 8 in esecuzione su Windows XP e Windows 8, l'exploit potrebbe essere modificato per indirizzare altre versioni e lingue, ha affermato FireEye.
APT insolitamente sofisticato
FireEye ha affermato che questa campagna APT (Advanced Persistent Threat) utilizza alcuni degli stessi server di comando e controllo di quelli utilizzati nei precedenti attacchi APT contro obiettivi giapponesi e cinesi, noti come Operation DeputyDog. Questo APT è insolitamente sofisticato perché distribuisce payload dannoso che viene eseguito esclusivamente nella memoria del computer, secondo FireEye. Poiché non si scrive su disco, è molto più difficile rilevare o trovare prove forensi su macchine infette.
"Utilizzando compromessi strategici sul Web insieme a tattiche di consegna del payload in memoria e molteplici metodi di offuscamento nidificati, questa campagna si è dimostrata eccezionalmente realizzata e sfuggente", ha affermato FireEye.
Tuttavia, poiché il malware senza disco è completamente residente in memoria, il semplice riavvio della macchina sembra rimuovere l'infezione. Gli aggressori non sembrano preoccupati di essere persistenti, suggerendo che gli aggressori "sono fiduciosi che i loro obiettivi previsti semplicemente rivisiteranno il sito Web compromesso e saranno nuovamente infettati", hanno scritto i ricercatori di FireEye.
Significa anche che gli aggressori si muovono molto rapidamente, poiché devono spostarsi attraverso la rete per raggiungere altri obiettivi o trovare le informazioni che stanno cercando prima che l'utente riavvii la macchina e rimuova l'infezione. "Una volta che l'attaccante entra e aumenta i privilegi, può implementare molti altri metodi per stabilire la persistenza", ha affermato Ken Westin, ricercatore di sicurezza presso Tripwire.
I ricercatori della società di sicurezza Triumfant hanno sostenuto un aumento del malware senza disco e si riferiscono a questi attacchi come Advanced Volatile Threats (AVT).
Non correlato a Office Flaw
L'ultima vulnerabilità zero-day di Internet Explorer è dovuta a un difetto critico di Microsoft Office segnalato anche la scorsa settimana. Il difetto nel modo in cui Microsoft Windows e Office accedono alle immagini TIFF non è correlato a questo bug di Internet Explorer. Mentre gli aggressori stanno già sfruttando il bug di Office, la maggior parte degli obiettivi sono attualmente in Medio Oriente e Asia. Gli utenti sono incoraggiati a installare FixIt, che limita la capacità del computer di aprire la grafica, in attesa di una patch permanente.
FireEye ha notificato a Microsoft la vulnerabilità, ma Microsoft non ha ancora commentato pubblicamente il difetto. È tremendamente improbabile che questo bug venga risolto in tempo per l'uscita di domani di Patch Tuesday.
L'ultima versione di Microsoft EMET, Enhanced Mitigation Experience Toolkit, blocca con successo gli attacchi contro le vulnerabilità di IE e di Office. Le organizzazioni dovrebbero prendere in considerazione l'installazione di EMET. Gli utenti possono anche prendere in considerazione l'aggiornamento alla versione 11 di Internet Explorer o utilizzare browser diversi da Internet Explorer fino a quando il bug non viene corretto.
Problemi di XP
Quest'ultima campagna di watering hole evidenzia anche come gli aggressori stanno prendendo di mira gli utenti di Windows XP. Microsoft ha ripetutamente ricordato agli utenti che smetterà di fornire aggiornamenti di sicurezza per Windows XP dopo aprile 2014 e gli utenti dovrebbero aggiornare alle versioni più recenti del sistema operativo. I ricercatori della sicurezza ritengono che molti autori di attacchi si trovino nella cache delle vulnerabilità di XP e ritengono che ci sarà un'ondata di attacchi contro Windows XP dopo che Microsoft avrà terminato il supporto per il vecchio sistema operativo.
"Non ritardare: esegui l'aggiornamento da Windows XP a qualcos'altro il prima possibile se apprezzi la tua sicurezza", ha scritto Graham Cluley, un ricercatore indipendente sulla sicurezza, sul suo blog.
