Szerző: Bodnár Ádám

2014. február 14. 09:41

A Microsoft vizsgálja az Internet Explorer 0-day sebezhetőségét

Egyelőre nem javított sérülékenységet fedezett fel az Internet Explorerben a FireEye biztonsági cég. A résen keresztül felhasználói interakció nélkül lehet az áldozat gépére tetszőleges kódot letölteni és ott futtatni, ehhez csak a weboldal kódját kell módosítani.

A FireEye blogbejegyzése szerint elsősorban amerikai katonák és a védelmi minisztérium alkalmazottai ellen indult célzott támadás bukkant fel a U.S. Veterans of Foreign Wars weboldalon, amely az Internet Explorer eddig nem publikált és ennek megfelelően nem is javított sebezhetőségét használja ki. A támadók a weboldal kódjába olyan iframe-et rejtettek, amely az oldal megnyitásakor észrevétlenül betölti a támadó kódot tartalmazó oldalt. Ez egy preparált HTML/JavaScript oldal Adobe Flash tartalommal.

A gyors elemzés alapján egy "use after free" sebezhetőségről van szó. Ezek a hibák olyankor fordulnak elő, amikor a program egy korábban már felszabadított memóriaterületet (heap) próbál meg használni, a támadások pedig arra irányulnak, hogy a vezérlés a támadó kódon folytatódjon - bővebben a user after free támadásokról a Buherablog bejegyzéseiben lehet magyarul olvasni.  FireEye által felfedezett kódot úgy írták meg, hogy megkerülje a Windowsokban jó ideje létező Address Space Randomization Layer és Data Execution Prevention védelmeket is, így lehetséges a memória módosítása és a kód futtatása.

A konkrét esetben a támadás a ZxShell nevű backdoort telepítette az áldozatok gépeire, amely egy széles körben ismert és kiberkémkedési műveletekhez gyakran használt komponens. A FireEye gyanúja szerint a támadók amerikai katonai titkokhoz szerettek volna hozzáférni, a veteránok weboldalát ugyanis a már leszereltek mellett jelenleg a hadsereg állományában levő személyek is gyakran felkeresik. A vállalat úgy látja, a támadáshoz használt módszerek kísértetiesen emlékeztetnek két korábbi esetre (DeputyDog, Ephemerial Hydra), amelyek miatt az a gyanú, az elkövetők között összefüggés lehet. Azok a támadások amerikai katonai célpontok mellett japán iparvállalatokat, jogi cégeket, bányavállalatokat vettek célba.

A támadás az Internet Explorer 9-es és 10-es verzióján kivitelezhető. A Microsoft saját bevallása szerint már vizsgálja az esetet, addig is mindenkinek javasolja a frissítést Internet Explorer 11-re, amely Windows 8.x és Windows 7 operációs rendszeren, illetve ezek szerverváltozatain (2008 R2, 2012, 2012 R2) érhető el. A FireEye szerint a Microsoft Enhanced Mitigation Experience Toolkit (EMET) érzékelése esetén a támadás nem fut le, így ennek telepítésével a böngésző frissítése nélkül is kivédhető ez a konkrét támadás. Valamint persze altenratív böngésző használatával.

a címlapról