Szerző: Bodnár Ádám

2014. február 14. 09:41

A Microsoft vizsgálja az Internet Explorer 0-day sebezhetőségét

Egyelőre nem javított sérülékenységet fedezett fel az Internet Explorerben a FireEye biztonsági cég. A résen keresztül felhasználói interakció nélkül lehet az áldozat gépére tetszőleges kódot letölteni és ott futtatni, ehhez csak a weboldal kódját kell módosítani.

A FireEye blogbejegyzése szerint elsősorban amerikai katonák és a védelmi minisztérium alkalmazottai ellen indult célzott támadás bukkant fel a U.S. Veterans of Foreign Wars weboldalon, amely az Internet Explorer eddig nem publikált és ennek megfelelően nem is javított sebezhetőségét használja ki. A támadók a weboldal kódjába olyan iframe-et rejtettek, amely az oldal megnyitásakor észrevétlenül betölti a támadó kódot tartalmazó oldalt. Ez egy preparált HTML/JavaScript oldal Adobe Flash tartalommal.

A gyors elemzés alapján egy "use after free" sebezhetőségről van szó. Ezek a hibák olyankor fordulnak elő, amikor a program egy korábban már felszabadított memóriaterületet (heap) próbál meg használni, a támadások pedig arra irányulnak, hogy a vezérlés a támadó kódon folytatódjon - bővebben a user after free támadásokról a Buherablog bejegyzéseiben lehet magyarul olvasni.  FireEye által felfedezett kódot úgy írták meg, hogy megkerülje a Windowsokban jó ideje létező Address Space Randomization Layer és Data Execution Prevention védelmeket is, így lehetséges a memória módosítása és a kód futtatása.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x)

Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x) Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

A konkrét esetben a támadás a ZxShell nevű backdoort telepítette az áldozatok gépeire, amely egy széles körben ismert és kiberkémkedési műveletekhez gyakran használt komponens. A FireEye gyanúja szerint a támadók amerikai katonai titkokhoz szerettek volna hozzáférni, a veteránok weboldalát ugyanis a már leszereltek mellett jelenleg a hadsereg állományában levő személyek is gyakran felkeresik. A vállalat úgy látja, a támadáshoz használt módszerek kísértetiesen emlékeztetnek két korábbi esetre (DeputyDog, Ephemerial Hydra), amelyek miatt az a gyanú, az elkövetők között összefüggés lehet. Azok a támadások amerikai katonai célpontok mellett japán iparvállalatokat, jogi cégeket, bányavállalatokat vettek célba.

A támadás az Internet Explorer 9-es és 10-es verzióján kivitelezhető. A Microsoft saját bevallása szerint már vizsgálja az esetet, addig is mindenkinek javasolja a frissítést Internet Explorer 11-re, amely Windows 8.x és Windows 7 operációs rendszeren, illetve ezek szerverváltozatain (2008 R2, 2012, 2012 R2) érhető el. A FireEye szerint a Microsoft Enhanced Mitigation Experience Toolkit (EMET) érzékelése esetén a támadás nem fut le, így ennek telepítésével a böngésző frissítése nélkül is kivédhető ez a konkrét támadás. Valamint persze altenratív böngésző használatával.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról