יום, כלומר אפס יום המשמש בהתקפת חור השקיה ממקד לזיכרון

התוקפים מנצלים נקודות תורפה חמורות ב- Internet Explorer במתקפת חור מים, הזהירו חוקרים מחברת האבטחה FireEye. משתמשים שרוצים להיכנס לאתר הנגוע נפגעים עם תוכנות זדוניות המדביקות את זיכרון המחשב בהתקפה קלאסית של הכונן.

FireEye אמר בניתוחו בשבוע שעבר. FireEye לא זיהה את האתר מעבר לעובדה שהוא מבוסס בארצות הברית.

"הניצול ממנף פגיעות חדשה של דליפת מידע ופגיעות בגישה לזיכרון של IE מחוץ לתחום כדי להשיג ביצוע קוד", כתבו חוקרי FireEye. "זו פגיעות אחת המנוצלת בדרכים שונות ומגוונות."

הפגיעויות קיימות ב- Internet Explorer 7, 8, 9, ו- 10, הפועלות ב- Windows XP או Windows 7. בעוד שההתקפה הנוכחית ממקדת את הגירסה האנגלית של Internet Explorer 7 ו- 8 הפועלת גם ב- Windows XP וגם ב- Windows 8, השימוש בו יכול להיות FireEye הוחלף כדי להתמקד בגרסאות ושפות אחרות.

APT מתוחכם בצורה בלתי רגילה

FireEye מסר כי קמפיין איום מתמשך מתמשך (APT) משתמש בכמה מאותם שרתי פיקוד ובקרה כמו אלה ששימשו בפיגועי ה- APT הקודמים נגד יעדים יפניים וסיניים, המכונים "Operation ViceDog". APT זה מתוחכם בצורה יוצאת דופן מכיוון שהוא מפיץ עומס זדוני הפועל אך ורק בזיכרון של המחשב, מצא FireEye. מכיוון שהוא לא כותב את עצמו לדיסק, קשה הרבה יותר לאתר או למצוא עדויות משפטיות על מכונות נגועות.

FireEye אמר כי "על ידי ניצול פשרות אסטרטגיות ברשת יחד עם טקטיקות מסירת עומס על זיכרון ושיטות רבות של ערפול קינון, קמפיין זה הוכיח כמושלם וחמקמק במיוחד".

עם זאת, מכיוון שהתוכנה הזדונית חסרת הסימן נמצאת לגמרי בזיכרון, נראה כי הפעלה מחדש של המכונה מסירה את הזיהום. נראה כי התוקפים אינם מודאגים מכך שהם מתמידים, ומציעים כי התוקפים "בטוחים כי היעדים המיועדים שלהם פשוט יבקרו באתר שנפגע ויידבקו מחדש", כתבו חוקרי FireEye.

פירוש הדבר גם שהתוקפים עוברים מהר מאוד, מכיוון שהם צריכים לעבור ברשת כדי להגיע למטרות אחרות או למצוא את המידע שאחריו לפני שהמשתמש יפעיל מחדש את המכונה ויסיר את הזיהום. קן ווסטין, חוקר אבטחה ב- Tripwire, אמר: "ברגע שהתוקף נכנס ומסלסל את הרשאות הם יכולים לפרוס שיטות רבות אחרות לביסוס התמדה.

חוקרים מחברת האבטחה Triumfant טענו כי גידול בתוכנות זדוניות חסרות פשר מתייחסים להתקפות אלה כאל איומים מתקדמים נדיפים (AVT).

לא קשור לפגם במשרד

הפגיעות האחרונה של אפס אקספלורר האחרונה של יום אקספלורר עולה על פגם קריטי ב- Microsoft Office שדיווחה גם היא בשבוע שעבר. הפגם באופן הגישה של Microsoft Windows ו- Office לתמונות TIFF אינו קשור לבאג Internet Explorer זה. בעוד שתוקפים כבר מנצלים את באג Office, רוב היעדים נמצאים כיום במזרח התיכון ובאסיה. משתמשים מעודדים להתקין את ה- FixIt, המגביל את יכולת המחשב לפתוח גרפיקה, בזמן שהם ממתינים לתיקון קבוע.

FireEye הודיעה למיקרוסופט על הפגיעות, אך מיקרוסופט טרם הגיבה בפומבי על הפגם. אין זה סביר להפליא כי באג זה יטופל בזמן לשחרורו של מחר ביום שלישי.

הגרסה האחרונה של מיקרוסופט EMET, ערכת הכלים המשופרת למניעת התנגדות, חוסמת בהצלחה את ההתקפות שממוקדות לפגיעויות ה- IE, כמו גם את ה- Office. ארגונים צריכים לשקול התקנת EMET. משתמשים יכולים לשקול לשדרג לגירסה 11 של Internet Explorer, או להשתמש בדפדפנים שאינם Internet Explorer עד לתיקון הבאג.

בעיות XP

קמפיין החורים האחרון הזה מדגיש גם כיצד התוקפים מכוונים למשתמשים ב- Windows XP. מיקרוסופט הזכירה שוב ושוב למשתמשים שהיא תפסיק לספק עדכוני אבטחה עבור Windows XP לאחר אפריל 2014, ועל המשתמשים לשדרג לגרסאות חדשות יותר של מערכת ההפעלה. חוקרי אבטחה מאמינים שתוקפים רבים יושבים על מטמון של פגיעויות XP ומאמינים שיהיה גל התקפות שממוקד ל- Windows XP לאחר שמיקרוסופט תסיים את התמיכה במערכת ההפעלה המזדקנת.

"אל תתמהמה - שדרג מ- Windows XP למשהו אחר בהקדם האפשרי אם אתה מעריך את האבטחה שלך, " כתב גרהם קלואי, חוקר אבטחה עצמאי, בבלוג שלו.