Microsoft tymczasowo łata lukę 0-day użytą do zaatakowania pracowników przemysłu jądrowego

10-05-2013, 09:02

Gigant z Redmond, zaniepokojony sposobem wykorzystania nowo odkrytej luki, udostępnił narzędzie Fix It, pomijając comiesięczny cykl aktualizacji.

Microsoft mógłby zaczekać z łataniem do najbliższego wtorku, gdyby media nie narobiły szumu. Poprzez odkrytą pod koniec kwietnia lukę zostali bowiem zaatakowani naukowcy z Departamentu Energii Stanów Zjednoczonych (ang. The United States Department of Energy). Złośliwy skrypt został natomiast umieszczony na stronie internetowej Departamentu Pracy (ang. Department of Labor), o czym szczegółowo poinformowała Invincea - zob. Part 1 – K.I.A. – US Dept. Labor Website Pushing Poison Ivy – CVE-2012-4792 oraz Part 2 – K.I.A. – US Dept. Labor Watering Hole Pushing Poison Ivy Via IE8 Zero-Day.

Początkowo specjalistom ds. bezpieczeństwa wydawało się, że ataku dokonano przy użyciu znanej (i załatanej w styczniu br.) luki CVE-2012-4792. Szybko okazało się jednak, że mają do czynienia z całkiem nowym błędem, który występuje w przeglądarce Internet Explorer 8 zainstalowanej w systemach Windows XP, Windows Vista oraz Windows 7 (CVE-2013-1347). Microsoft potwierdził istnienie luki, zapewniając, że serwerowe wersje Windowsa są w pewnym stopniu zabezpieczone przed atakiem ze względu na uruchamianie IE w restrykcyjnym trybie Enhanced Security Configuration.

W czym leży problem?

Jak czytamy na stronie Microsoftu, luka uaktywnia się, gdy Internet Explorer łączy się z obiektem w pamięci, który został już usunięty lub nie został poprawnie przydzielony. Awaria IE pozwala atakującemu wykonać dowolny kod - jak to wygląda w praktyce można zobaczyć na filmie przygotowanym przez Malwarebytes, który zamieszczamy na końcu artykułu. W przypadku ataku na pracowników przemysłu jądrowego lukę wykorzystano do pobrania na dyski ofiar narzędzia Poison Ivy, które - jak wyjaśnia Zaufana Trzecia Strona - nasłuchiwało połączeń na portach 53 i 8080 oraz łączyło się z serwerem kontroli i zarządzania (C&C).

Jak wspomnieliśmy we wstępie, Microsoft zdecydował się na publikację łatki typu Fix It, która tymczasowo zabezpiecza system przed wykorzystaniem omawianej luki. Łatkę można znaleźć na stronie Pomocy Technicznej. Uprzedzając pytania typu „kto dziś jeszcze używa IE8?!”, które mogą pojawić się w komentarzach, przypominamy, że Microsoft nie udostępnił dla Windowsa XP nowszej wersji swojej przeglądarki, a rezygnacja z tego systemu w niektórych środowiskach może być niestety problematyczna.

Czytaj także: Pomoc techniczna Microsoftu wprowadza w błąd


Źródło: Invincea, Microsoft, Zaufana Trzecia Strona
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31