Video: Ethical Hacking: IE Zero Day Exploit (Nobyembre 2024)
Ang Microsoft ay naglabas ng isang "Ayusin Ito" na tumutugon sa isang madaling araw na kahinaan sa mga mas lumang bersyon ng Internet Explorer na ginamit upang ikompromiso ang mga bisita sa website ng Council on Foreign Relations noong nakaraang buwan.
Ang madaling araw na kahinaan ay may kaugnayan sa kung paano ang pag-access ng IE "isang object n memorya na tinanggal o hindi maayos na inilalaan, " sinabi ni Microsoft sa isang advisory ng seguridad noong Disyembre 29. Ang isyu ay naroroon sa Internet Explorer 6, 7, at 8. Ang mga mas bagong IE 9 at 10 ay hindi apektado.
Ang "Ayusin ito" ay hindi isang permanenteng patch, ngunit isang pansamantalang mekanismo na maaaring magamit upang maprotektahan ang mga gumagamit hanggang sa handa na ang buong pag-update ng seguridad. Hindi isiniwalat ng Microsoft kung ang pag-update ay handa na para sa Enero ng Patch Martes, na naka-iskedyul para sa Enero 8.
"Sa puntong ito, lubos na inirerekomenda na ilapat ang Ayusin ito kung hindi ka maaaring mag-upgrade sa Internet Explorer 9 o 10 o kung hindi mo pa naipatupad ang isa sa mga workarounds, " isinulat ni Johannes Ullrich ng SANS Technology Institute sa Internet Storm Center blog.
Magmaneho Sa Pag-download ng Mga Pag-atake
Ang kapintasan ng seguridad na ito ay partikular na mapanganib dahil ang mga umaatake ay maaaring samantalahin ito sa isang pag-download na pag-download na atake. Ang mga biktima na bumibisita sa website na nakulong sa booby ay mahawahan nang hindi nag-click o gumawa ng anumang bagay sa site.
Ang mga pag-atake ay nag-usap sa website ng Council on Foreign Relations upang mapagsamantalahan ang kamalian, iniulat ng mga mananaliksik sa FireEye noong nakaraang linggo. Ang mga bisita sa Website ng dayuhang palagay ng tanke ay nahawaan ng Bifrose malware, isang backdoor na nagpapahintulot sa mga umaatake na magnakaw ng mga file na nakaimbak sa computer.
Ang katotohanan na ang site ng CFR ay na-tampuhan sa ipinahihiwatig ng mga na-target na biktima ay ang mga taong interesado sa patakaran ng dayuhan ng Estados Unidos, sinabi ni Alex Horan ng CORE Security sa SecurityWatch . "Ang pagkontrol sa kanilang mga makina at mabasa ang lahat ng kanilang mga lokal na dokumento ay magiging isang kayamanan ng impormasyon, " sabi ni Horan. Ang mga pag-atake sa Zero ay "mahal" sa kahulugan na sila ay mas mahirap na umunlad, kaya't ang target ay dapat na sulit sa pagsisikap, aniya.
Ang mga biktima ay kasalukuyang puro sa North America, na nagmumungkahi ng isang target na kampanya ng pag-atake, sinabi ng Symantec Security Response sa blog nito.
Ang nakahahamak na code ay nagsilbi sa pagsasamantala sa mga browser na ang wika ng operating system ay alinman sa English (US), Intsik (China), Intsik (Taiwan), Japanese, Korean, o Ruso, sinulat ng Darien Kindlund ng FireEye.
Ang CFR ay maaaring nahawahan hanggang noong Disyembre 7, sinabi ni Chester Wisniewski, tagapayo ng senior security sa Sophos. Hindi bababa sa limang karagdagang mga Website ay na-tampuhan, "nagmumungkahi na ang pag-atake ay mas laganap kaysa sa orihinal na naisip, " ngunit tila walang malinaw na link sa pagitan ng mga biktima, sinabi ni Wisniewski.
Hindi pangkaraniwan na makita ang mga pag-atake sa paligid ng kapaskuhan, sinabi ni Ziv Mador, direktor ng pananaliksik sa seguridad sa Trustwave, sa SecurityWatch . "Nangyayari ito dahil ang tugon ng mga nagtitinda ng seguridad, ng vendor ng software at ng pangkat ng IT ng apektadong organisasyon ay maaaring mas mabagal kaysa sa dati, " sabi ni Mador.
Ayusin ito at Workarounds
Ang mga gumagamit na hindi maaaring mag-upgrade sa IE 9 o 10 o hindi maaaring mag-apply ng Fix Dapat itong gumamit ng isang alternatibong Web browser hanggang sa makuha ang buong patch. Inirerekumenda din ng Microsoft na ang mga gumagamit ay may isang firewall sa lugar at tiyakin na ang lahat ng mga software at seguridad na mga produkto ay ganap na naka-patched at na-update. Dahil ang pag-atake na ito ay gumagamit ng Java at Flash, inirerekomenda ni Jamie Blasco ni AlienVault na maiwasan ang pag-iwas sa third-party na software sa browser sa sandaling ito.
Habang Ayusin ay madaling mag-aplay at hindi nangangailangan ng isang reboot, ito ay "magkaroon ng isang maliit na epekto sa oras ng pagsisimula ng Internet Explorer, " si Cristian Craioveanu, isang miyembro ng pangkat ng MSRC Engineering, ay sumulat sa blog ng MSRC. Kapag magagamit na ang pangwakas na patch, dapat i-uninstall ng mga gumagamit ang workaround upang mapabilis muli ang oras ng pagsisimula ng browser.
Ang pag-atake na ito ay "isa pang maalalang paalala" na ang pagtatrabaho sa computer bilang isang hindi pang-administratibong gumagamit ay maaaring magbayad sa mga sitwasyong ito, sinabi ni Wisniewski. Ang pagiging isang hindi pribilehiyo ng gumagamit ay nangangahulugang ang mga umaatake ay limitado sa dami ng pinsala na maaari nilang maging sanhi.
Para sa higit pa mula sa Fahmida, sundan mo siya sa Twitter @zdFYRashid.
