חוקר האינטרנט 8 אפס יום מנצל עובדים גרעיניים ממוקדים

בשלהי אפריל, חוקרי אבטחה גילו ניצול ב- Internet Explorer 8 שאיפשר לתוקפים לבצע קוד זדוני במחשב של הקורבן. באופן המדאיג ביותר, הניצול נמצא בטבע באתר משרד העבודה האמריקאי (DoL), ואולי מכוון לעובדים גישה לחומרים גרעיניים או רעילים אחרים. בסוף השבוע הזה, מיקרוסופט אישרה כי הניצול היה יום אפס חדש ב- IE 8.

המנצל

מיקרוסופט פרסמה ביום שישי ייעוץ אבטחה המאשר את השימוש בו ב- Internet Explorer 8 CVE-2013-1347, וציין כי הגרסאות 6, 7, 9 ו- 10 לא הושפעו.

"זו פגיעות של ביצוע קוד מרחוק", כתבה מיקרוסופט. "הפגיעות קיימת באופן בו Internet Explorer ניגש לאובייקט בזיכרון שנמחק או שלא הוקצה כראוי. הפגיעות עלולה לפגוע בזיכרון באופן שעלול לאפשר לתוקף לבצע קוד שרירותי בהקשר של המשתמש הנוכחי. בתוך Internet Explorer."

"תוקף יכול לארח אתר בעל מבנה מיוחד המיועד לנצל פגיעות זו באמצעות Internet Explorer ואז לשכנע משתמש להציג את האתר", כותב מיקרוסופט. לרוע המזל נראה שזה קרה כבר.

בטבע

חברת האבטחה אינבינסיאה הבחינה לראשונה בסוף אותה אפריל. הם ציינו כי נראה כי אתר האינטרנט של ה- DoL מכוון את המבקרים מחדש לאתר אחר בו הותקן וריאנט של ה- Poison Ivy Trojan על מכשיר הקורבן.

מעבדות AlienVault כתבו כי בעוד שהתוכנות הזדוניות ביצעו מספר פעילויות, היא סרקה גם את מחשב הקורבן כדי לקבוע מה היה, אם בכלל, האני-וירוס. על פי נתוני AlienVault, התוכנה הזדונית בדקה את ההווה של תוכנת אבירה, ביטדפנדר, מקאפי, AVG, Eset, Dr. Web, MSE, Sophos, F-secure, ו- Kasperky.

בבלוג של סיסקו כותב קרייג וויליאמס, "ככל הנראה מידע זה ישמש כדי להקל ולהבטיח את הצלחת ההתקפות העתידיות."

אמנם קשה לומר מה המניעים העומדים מאחורי מתקפת ה- DoL, אך נראה שהנצל נפרס עם כמה יעדים בראש. וויליאמס כינה זאת התקפת "חור השקיה", שם אתר פופולרי שונה כדי להדביק מבקרים נכנסים - בדומה להתקפה על מפתחים שראינו בתחילת השנה.

בעוד ש- DoL היה הצעד הראשון במתקפה, נראה כי היעדים בפועל היו במחלקת האנרגיה - במיוחד עובדים עם גישה לחומר גרעיני. ב- AlienVault כותבים כי היה מעורב באתר מטריצות החשיפה לאתר המארח מידע על תגמול עובדים בגין חשיפה לחומרים רעילים.

וויליאמס כתב, "מבקרים בדפים ספציפיים המארחים תוכן גרעיני באתר מחלקת העבודה קיבלו גם הם תוכן זדוני שנטען מהדומיין dol.ns01.us." אתר DoL המדובר תוקן מאז.

היזהר שם בחוץ

הייעוץ של מיקרוסופט מציין גם כי יש לפתות קורבנות לאתר אינטרנט על מנת שהניצול יהיה אפקטיבי. "בכל המקרים, לתוקף לא תהיה שום דרך לאלץ משתמשים לבקר באתרים אלה", כותבת מיקרוסופט.

מכיוון שייתכן שמדובר בהתקפה ממוקדת, סביר להניח שרוב המשתמשים לא יתקלו במנצל עצמם. עם זאת, אם משתמשים בו קבוצה אחת של תוקפים, סביר שגם לאחרים יש גישה למנצל החדש. כמו תמיד, היזהר מקישורים מוזרים והצעות טובות-להיות-אמיתיות מדי. בעבר, התוקפים השתמשו בטקטיקות הנדסיות חברתיות כמו חטיפת חשבונות פייסבוק כדי להפיץ קישורים זדוניים, או לגרום להודעות דוא"ל להגיע מבני משפחה. כדאי לתת לכל קישור מבחן רחרוח.

מיקרוסופט לא הודיעה מתי או איך ייעשה טיפול בניצול.