Video: Phần 1 Khai báo thông số ban đầu và tính quá trình nạp (Tháng mười một 2024)
Các nhà nghiên cứu tại Exodus Intelligence đã báo cáo rằng có thể bỏ qua cách khắc phục Fix-It mà Microsoft đã phát hành hôm thứ Hai cho lỗ hổng zero-day mới nhất trong Internet Explorer.
Trong khi Fix-It chặn đường tấn công chính xác được sử dụng trong cuộc tấn công vào trang web của Hội đồng Quan hệ đối ngoại, các nhà nghiên cứu có thể "bỏ qua sửa chữa và thỏa hiệp một hệ thống được vá đầy đủ với một biến thể khai thác", theo bài đăng hôm thứ Sáu blog Xuất hành.
Microsoft đã được thông báo về việc khai thác mới, theo bài đăng. Các nhà nghiên cứu của Exodus cho biết họ sẽ không tiết lộ bất kỳ chi tiết nào về việc khai thác của họ cho đến khi Microsoft vá lỗ hổng.
Bản sửa lỗi được dự định là một bản sửa lỗi tạm thời trong khi công ty làm việc trên bản vá đầy đủ để đóng bản cập nhật bảo mật. Microsoft chưa cho biết khi nào bản cập nhật đầy đủ cho Internet Explorer sẽ có sẵn và dự kiến sẽ không có trong bản phát hành Patch thứ ba vào tuần tới.
Người dùng nên tải xuống và cài đặt bộ công cụ Trải nghiệm giảm thiểu nâng cao 3.5 của Microsoft "như một công cụ khác để giúp bảo vệ các hệ thống Windows của bạn chống lại các cuộc tấn công khác nhau", Guy Bruneau của Viện Sans viết trên blog Internet Storm Center. Một bài đăng ISC trước đó đã chứng minh làm thế nào EMET 3.5 có thể chặn các cuộc tấn công nhắm vào lỗ hổng IE.
Tìm thấy nhiều trang web thỏa hiệp hơn
Các nhà nghiên cứu của FireEye lần đầu tiên xác định lỗ hổng zero-day khi họ thấy trang web của Hội đồng Quan hệ đối ngoại đã bị xâm phạm và đang phục vụ các tệp Flash độc hại cho khách truy cập không nghi ngờ. Nó chỉ ra một số trang web chính trị, xã hội và nhân quyền khác ở Mỹ, Nga, Trung Quốc và Hồng Kông cũng đã bị nhiễm và đang phát tán phần mềm độc hại.
Cuộc tấn công CFR có thể đã bắt đầu sớm nhất là vào ngày 7 tháng 12, FireEye nói. Những kẻ tấn công đã sử dụng today.swf, một tệp Adobe Flash độc hại, để khởi động một cuộc tấn công phun đống với IE cho phép kẻ tấn công thực thi mã từ xa trên máy tính bị nhiễm.
Các nhà nghiên cứu của Avast cho biết hai trang web nhân quyền của Trung Quốc, một trang báo Hồng Kông và một trang web khoa học Nga đã được sửa đổi để phân phối Flash khai thác lỗ hổng trong Internet Explorer 8. Nhà nghiên cứu bảo mật Eric Romang đã tìm thấy cuộc tấn công tương tự vào trang web của nhà sản xuất microturbine Capstone Turbine Corporation, cũng như trên trang web thuộc nhóm bất đồng chính kiến Trung Quốc Uygur Haber Ajanski. Capstone Turbine có thể đã bị nhiễm từ ngày 17 tháng 12.
Trở lại vào tháng 9, Capstone Turbine đã được sửa đổi để phân phối phần mềm độc hại khai thác lỗ hổng zero-day khác nhau, Romang nói.
"Có khả năng những kẻ đứng sau CVE-2012-4969 và CVE-2012-4792 đều giống nhau", Romang viết.
Các nhà nghiên cứu của Symantec đã liên kết các cuộc tấn công mới nhất với nhóm Elderwood, những người đã sử dụng các lỗ hổng zero-day khác để khởi động các cuộc tấn công tương tự trong quá khứ. Nhóm đã sử dụng lại các thành phần từ nền tảng "Elderwood" và phân phối các tệp Flash tương tự cho các nạn nhân của nó, Symantec cho biết. Symantec cho biết, tệp Flash độc hại đã gây nhiễm cho khách truy cập Capston Turbine có một số điểm tương đồng với tệp Flash được sử dụng trước đây bởi băng đảng Elderwood trong các cuộc tấn công khác, Symantec cho biết.
"Rõ ràng là nhóm đứng sau Dự án Elderwood tiếp tục tạo ra các lỗ hổng zero-day mới để sử dụng trong các cuộc tấn công lỗ tưới nước và chúng tôi hy vọng họ sẽ tiếp tục làm như vậy trong năm mới, " theo Symantec.