Video: Internet Explorer Zero-Day Vulnerability Under Active Attack (Tháng mười một 2024)
Microsoft đã phát hành một "Khắc phục sự cố" giải quyết lỗ hổng zero-day trong các phiên bản Internet Explorer cũ hơn được sử dụng để thỏa hiệp khách truy cập vào trang web của Hội đồng Quan hệ đối ngoại vào tháng trước.
Lỗ hổng zero-day liên quan đến cách IE truy cập "bộ nhớ đối tượng n đã bị xóa hoặc không được phân bổ hợp lý", Microsoft cho biết trong một tư vấn bảo mật vào ngày 29 tháng 12. Vấn đề này hiện diện trong Internet Explorer 6, 7, và 8. IE 9 và 10 mới hơn không bị ảnh hưởng.
"Khắc phục sự cố" không phải là một bản vá vĩnh viễn, mà chỉ là một cơ chế tạm thời có thể được sử dụng để bảo vệ người dùng cho đến khi cập nhật bảo mật đầy đủ. Microsoft đã không tiết lộ liệu bản cập nhật có sẵn sàng cho Bản vá ngày thứ ba, dự kiến vào ngày 8 tháng 1 hay không.
"Tại thời điểm này, chúng tôi khuyên bạn nên áp dụng Khắc phục sự cố nếu bạn không thể nâng cấp lên Internet Explorer 9 hoặc 10 hoặc nếu bạn chưa áp dụng một trong các cách giải quyết", ông Julian Ullrich của Viện Công nghệ Sans viết trên Internet Storm Trung tâm blog.
Lái xe tải về tấn công
Lỗ hổng bảo mật này đặc biệt nguy hiểm vì những kẻ tấn công có thể khai thác nó trong một cuộc tấn công tải xuống bằng cách lái xe. Nạn nhân truy cập trang web bị bẫy booby sẽ bị nhiễm mà không nhấp hoặc làm bất cứ điều gì trên trang web.
Những kẻ tấn công đã can thiệp vào trang web của Hội đồng Quan hệ đối ngoại để khai thác lỗ hổng này, các nhà nghiên cứu báo cáo tại FireEye tuần trước. Khách truy cập Trang web của nhóm tư duy chính sách đối ngoại đã bị nhiễm phần mềm độc hại Bifrose, một cửa hậu cho phép kẻ tấn công đánh cắp các tệp được lưu trữ trên máy tính.
Thực tế là trang web của CFR đã bị can thiệp với ngụ ý các nạn nhân được nhắm mục tiêu là những người quan tâm đến chính sách đối ngoại của Hoa Kỳ, Alex Horan của CORE Security nói với SecurityWatch . "Kiểm soát máy móc của họ và có thể đọc tất cả các tài liệu địa phương của họ sẽ là một kho tàng thông tin, " Horan nói. Các cuộc tấn công không có ngày là "tốn kém" theo nghĩa là chúng khó phát triển hơn, vì vậy mục tiêu đó phải đáng để nỗ lực, ông nói.
Nạn nhân hiện đang tập trung ở Bắc Mỹ, gợi ý một chiến dịch tấn công có chủ đích, Symantec Security Feedback cho biết trong blog của mình.
Mã độc phục vụ khai thác cho các trình duyệt có ngôn ngữ hệ điều hành là tiếng Anh (Mỹ), Trung Quốc (Trung Quốc), Trung Quốc (Đài Loan), Nhật Bản, Hàn Quốc hoặc Nga, Darien Kindlund của FireEye đã viết.
CFR có thể đã bị lây nhiễm từ ngày 7 tháng 12, Chester Wisniewski, cố vấn an ninh cấp cao tại Sophos, nói. Ít nhất năm trang web bổ sung đã bị can thiệp, "cho thấy cuộc tấn công lan rộng hơn so với suy nghĩ ban đầu", nhưng dường như không có mối liên hệ rõ ràng nào giữa các nạn nhân, Wisniewski nói.
Không có gì lạ khi thấy các cuộc tấn công vào mùa lễ, Ziv Mador, giám đốc nghiên cứu bảo mật tại Trustwave, nói với SecurityWatch . "Điều đó xảy ra bởi vì phản ứng của các nhà cung cấp bảo mật, bởi nhà cung cấp phần mềm và nhóm CNTT của tổ chức bị ảnh hưởng có thể chậm hơn bình thường", Mador nói.
Khắc phục sự cố và cách khắc phục
Người dùng không thể nâng cấp lên IE 9 hoặc 10 hoặc không thể áp dụng Khắc phục. Nên sử dụng trình duyệt Web thay thế cho đến khi có bản vá đầy đủ. Microsoft cũng khuyến nghị người dùng nên có tường lửa và đảm bảo tất cả các sản phẩm phần mềm và bảo mật đều được vá và cập nhật đầy đủ. Vì cuộc tấn công này sử dụng Java và Flash, Jamie Blasco của AlienVault khuyên bạn nên tránh phần mềm của bên thứ ba trong trình duyệt vào lúc này.
Mặc dù Khắc phục rất dễ áp dụng và không yêu cầu khởi động lại, nhưng nó sẽ "có ảnh hưởng nhỏ đến thời gian khởi động của Internet Explorer", Cristian Craagueanu, thành viên của nhóm MSRC Engineering, viết trên blog MSRC. Khi bản vá cuối cùng có sẵn, người dùng nên gỡ cài đặt cách khắc phục để tăng tốc thời gian khởi động lại của trình duyệt.
Cuộc tấn công này là "một lời nhắc nhở sâu sắc khác" rằng làm việc trên máy tính với tư cách là người dùng không phải là quản trị viên có thể được đền đáp trong những tình huống này, Wisniewski nói. Trở thành người dùng không có đặc quyền có nghĩa là những kẻ tấn công bị hạn chế về mức độ thiệt hại mà chúng có thể gây ra.
Để biết thêm từ Fahmida, hãy theo dõi cô ấy trên Twitter @zdFYRashid.