Gyorsjavítás érkezett az Internet Explorer sérülékenységére
A múlt héten publikált egy javítatlan Internet Explorer sérülékenységről szóló információt a FireEye, amelyet a biztonsági cég szerint célzott támadásokhoz már aktívan kihasználnak. A Microsoft most kiadta a gyorsjavítást, amely a patch érkezésééig tüneti kezelést nyújt.
A FireEye blogbejegyzése szerint elsősorban amerikai katonák és a védelmi minisztérium alkalmazottai ellen indult célzott támadás bukkant fel a U.S. Veterans of Foreign Wars weboldalon, amely az Internet Explorer eddig nem publikált és ennek megfelelően nem is javított sebezhetőségét használja ki. A támadók a weboldal kódjába olyan iframe-et rejtettek, amely az oldal megnyitásakor észrevétlenül betölti a támadó kódot tartalmazó oldalt.
A felfedezett kódot úgy írták meg, hogy megkerülje a Windowsokban jó ideje létező Address Space Layout Randomization és Data Execution Prevention védelmeket is, így lehetséges a memória módosítása és a kód futtatása. A konkrét esetben a támadás a ZxShell nevű backdoort telepítette az áldozatok gépeire, amely egy kiberkémkedési műveletekhez gyakran használt komponens. A FireEye gyanúja szerint a támadók amerikai katonai titkokhoz szerettek volna hozzáférni, ezért fertőzzék meg a veteránok számára létrehozott weboldalt, amelyet aktív katonák is rendszeresen látogatnak.
A sérülékenység use after free típusú, és az mshtml.dll-ben található - a CMarkup objektumot éri el a támadó kód, miután a használt memóriaterület felszabadult. A Microsoft weboldalán olvasható információk alapján a hiba az Internet Explorer 9-et és 10-et érinti, az előbbi verziót azonban egyelőre nem támadják, vagy legalábbis nincs róla információ, az IE10-nek is csak a 32 bites változata áll tűz alatt. A támadás egy JavaScript és Adobe Flash kombinációjával folyik, a Microsoft szerint egyelőre nem tudni olyan módszerről, amivel a kód kitörne az Internet Explorer Protected Mode sandboxból.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A vállalat által kiadott gyorsjavítás mindenesetre "eltéríti az érintett MSHTML API-kat, és a meglévő funkcionalitás újrafelhasználásával helyre rakja a referencia számlálókat, ami a sérülékenységet megszünteti", írja a BuheraBlog, kitérve arra, hogy a módszer memory leaket hagy maga után, amelyet valószínűleg a végleges patchben orvosolnak. A Microsoft oldalán közzétett információk alapján a FixIt telepítése nem igényli a rendszer újraindítását, de rendszergazdai jogosultság kell hozzá.
A cég kitér arra, hogy a támadás ellen teljes védelmet nyújt a frissítés Internet Explorer 11-re (persze ide behelyettesíthető más alternatív böngésző is), illetve az Enhanced Mitigation Experience Toolkit (EMET) telepítése, amelyet meglátva a kód visszavonulót fúj, hogy észrevétlen maradjon.. A támadás elemzése ugyanakkor kimutatta, az EMET enélkül is védelmet nyújt, ha a kód nem szűnne meg működni az EMET-et észlelve.