Video: Trapped in Internet Explorer (Tháng Chín 2024)
Cuối tháng 4, các nhà nghiên cứu bảo mật đã phát hiện ra một khai thác trong Internet Explorer 8 cho phép kẻ tấn công thực thi mã độc trên máy tính của nạn nhân. Đáng ngại nhất, việc khai thác đã được tìm thấy trong tự nhiên trên một trang web của Bộ Lao động Hoa Kỳ (DoL), có thể nhắm mục tiêu vào các công nhân có quyền truy cập vào hạt nhân hoặc các vật liệu độc hại khác. Cuối tuần này, Microsoft đã xác nhận rằng việc khai thác là một ngày không mới trong IE 8.
Khai thác
Microsoft đã đưa ra một lời khuyên bảo mật vào thứ Sáu xác nhận việc khai thác trong Internet Explorer 8 CVE-2013-1347, lưu ý rằng các phiên bản 6, 7, 9 và 10 không bị ảnh hưởng.
"Đây là một lỗ hổng thực thi mã từ xa, " Microsoft viết. "Lỗ hổng tồn tại theo cách Internet Explorer truy cập vào một đối tượng trong bộ nhớ đã bị xóa hoặc chưa được phân bổ hợp lý. Lỗ hổng này có thể làm hỏng bộ nhớ theo cách có thể cho phép kẻ tấn công thực thi mã tùy ý trong ngữ cảnh của người dùng hiện tại trong Internet Explorer. "
"Kẻ tấn công có thể lưu trữ một trang web được chế tạo đặc biệt được thiết kế để khai thác lỗ hổng này thông qua Internet Explorer và sau đó thuyết phục người dùng xem trang web", Microsoft viết. Thật không may, điều này dường như đã xảy ra.
Trong thế giới hoang dã
Khai thác lần đầu tiên được chú ý vào cuối tháng 4 bởi công ty bảo mật Invincea. Họ lưu ý rằng trang web DoL dường như đang chuyển hướng khách truy cập đến một trang web khác nơi một biến thể của Poison Ivy Trojan được cài đặt trên thiết bị của nạn nhân.
AlienVault Labs đã viết rằng trong khi phần mềm độc hại thực hiện một số hoạt động, nó cũng đã quét máy tính của nạn nhân để xác định xem, nếu có, virus anit có mặt. Theo AlienVault, phần mềm độc hại đã kiểm tra sự hiện diện của phần mềm Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-safe và Kasperky.
Trên Blog của Cisco, Craig Williams viết, "thông tin này có thể sẽ được sử dụng để tạo điều kiện và đảm bảo sự thành công của các cuộc tấn công trong tương lai."
Mặc dù khó có thể nói động cơ nào đằng sau cuộc tấn công DoL, nhưng việc khai thác dường như đã được triển khai với một số mục tiêu trong tâm trí. Williams gọi đó là một cuộc tấn công "lỗ tưới nước", trong đó một trang web phổ biến được sửa đổi để lây nhiễm khách truy cập đến, tương tự như cuộc tấn công vào các nhà phát triển mà chúng ta đã thấy hồi đầu năm nay.
Mặc dù DoL là bước đầu tiên trong cuộc tấn công, nhưng có vẻ như các mục tiêu thực tế là tại Bộ Năng lượng, đặc biệt là các nhân viên có quyền truy cập vào vật liệu hạt nhân. AlienVault viết rằng trang web Ma trận phơi sáng trang web lưu trữ thông tin về bồi thường cho nhân viên khi tiếp xúc với các vật liệu độc hại có liên quan.
Williams đã viết, "Khách truy cập vào các trang cụ thể lưu trữ nội dung liên quan đến hạt nhân tại trang web của Bộ Lao động cũng đã nhận được nội dung độc hại được tải từ tên miền dol.ns01.us." Trang web DoL trong câu hỏi đã được sửa chữa.
Hãy cẩn thận ở ngoài đó
Tư vấn của Microsoft cũng lưu ý rằng các nạn nhân sẽ phải bị dụ dỗ vào một trang web để việc khai thác có hiệu quả. "Tuy nhiên, trong mọi trường hợp, kẻ tấn công sẽ không có cách nào buộc người dùng truy cập các trang web này", Microsoft viết.
Vì có thể đây là một cuộc tấn công có chủ đích, hầu hết người dùng có thể sẽ không gặp phải việc khai thác. Tuy nhiên, nếu nó được sử dụng bởi một nhóm kẻ tấn công, thì có khả năng những người khác cũng có quyền truy cập vào khai thác mới. Như mọi khi, xem ra các liên kết lạ và cung cấp quá tốt là đúng. Trước đây, những kẻ tấn công đã sử dụng các chiến thuật kỹ thuật xã hội như chiếm đoạt tài khoản Facebook để phát tán các liên kết độc hại hoặc làm cho các email dường như đến từ các thành viên gia đình. Đó là một ý tưởng tốt để cung cấp cho mỗi liên kết một bài kiểm tra đánh hơi.
Microsoft đã không thông báo khi nào, hoặc làm thế nào, việc khai thác sẽ được giải quyết.
