Video: Ethical Hacking: IE Zero Day Exploit (Settembre 2024)
I ricercatori di Exodus Intelligence hanno riferito di essere in grado di aggirare la soluzione alternativa Fix-It che Microsoft ha rilasciato lunedì per l'ultima vulnerabilità zero-day in Internet Explorer.
Mentre Fix-It ha bloccato l'esatto percorso di attacco utilizzato nell'attacco contro il sito web del Council on Foreign Relations, i ricercatori sono stati in grado di "aggirare la correzione e compromettere un sistema completamente patchato con una variazione dell'exploit", secondo il post di venerdì su il blog di Exodus.
Microsoft è stata informata del nuovo exploit, secondo il post. I ricercatori di Exodus hanno affermato che non avrebbero rivelato alcun dettaglio del loro exploit fino a quando Microsoft non avrà risolto il problema.
Fix-It doveva essere una correzione temporanea mentre la società lavorava sulla patch completa per chiudere l'aggiornamento di sicurezza. Microsoft non ha detto quando sarà disponibile l'aggiornamento completo di Internet Explorer e non è previsto che sia incluso nella prossima versione di Patch Martedì programmata.
Gli utenti devono scaricare e installare il toolkit Enhanced Mitigation Experience 3.5 di Microsoft "come un altro strumento per aiutare a difendere i sistemi Windows da vari attacchi", ha scritto Guy Bruneau del SANS Institute sul blog di Internet Storm Center. Un precedente post ISC aveva dimostrato come EMET 3.5 potesse bloccare gli attacchi contro la vulnerabilità di IE.
Trovati siti più compromessi
I ricercatori di FireEye hanno identificato per la prima volta il difetto zero-day quando hanno scoperto che il sito web del Council on Foreign Relations era stato compromesso e stava distribuendo file Flash dannosi a visitatori ignari. Si scopre che numerosi altri siti politici, sociali e sui diritti umani negli Stati Uniti, Russia, Cina e Hong Kong sono stati infettati e distribuivano malware.
L'attacco CFR potrebbe essere iniziato già dal 7 dicembre, ha affermato FireEye. Gli aggressori hanno utilizzato today.swf, un file Adobe Flash dannoso, per lanciare un attacco di heap spray contro IE che ha permesso all'autore dell'attacco di eseguire da remoto il codice sul computer infetto.
Ricercatori Avast hanno affermato che due siti cinesi per i diritti umani, un sito di giornali di Hong Kong e un sito scientifico russo sono stati modificati per distribuire un Flash sfruttando la vulnerabilità di Internet Explorer 8. Il ricercatore di sicurezza Eric Romang ha trovato lo stesso attacco al sito Web del produttore di microturbine energetiche Capstone Turbine Corporation, nonché sul sito appartenente al gruppo dissidente cinese Uygur Haber Ajanski. La turbina Capstone potrebbe essere stata infettata già dal 17 dicembre.
A settembre, Capstone Turbine era stata modificata per distribuire malware sfruttando una diversa vulnerabilità zero-day, ha detto Romang.
"Potenzialmente i ragazzi dietro CVE-2012-4969 e CVE-2012-4792 sono gli stessi", ha scritto Romang.
I ricercatori di Symantec hanno collegato gli ultimi attacchi al gruppo Elderwood che ha usato altri difetti zero-day per lanciare attacchi simili in passato. Il gruppo ha riutilizzato i componenti della piattaforma "Elderwood" e ha distribuito file Flash simili alle sue vittime, ha affermato Symantec. Il file Flash dannoso che ha infettato i visitatori di Capston Turbine aveva diverse somiglianze con il file Flash precedentemente utilizzato dalla banda Elderwood in altri attacchi, ha affermato Symantec.
"È diventato chiaro che il gruppo dietro il Progetto Elderwood continua a produrre nuove vulnerabilità zero-day da utilizzare negli attacchi di abbeveratoi e ci aspettiamo che continuino a farlo durante il nuovo anno", secondo Symantec.
