Vannhull-angrep mot Internet Explorer


Microsoft kommer i morgen med åtte sikkerhetsoppdateringer til selskapets programvare. Men to alvorlige nulldagssårbarheter blir ikke fjernet i denne omgang.

Den ene sårbarheten omtalte digi.no i midten av forrige uke. Den er knyttet til visningen av TIFF-bilder i noen eldre versjoner av Windows og Office, samt i alle versjoner av Lync. Senere i forrige uke kom det meldinger om at sårbarheten blir utnyttet i mer omfattende angrep enn det som først var antatt.

Rett før helgen omtalte FireEye Labs en nulldagssårbarhet i Internet Explorer som ble utnyttet av angrepskode som ble spredt via et amerikansk nettsted som FireEye omtaler som strategisk viktig og kjent for å trekke besøkende som sannsynligvis er interesserte i amerikansk og internasjonal sikkerhetspolicy.

Det er ikke oppgitt hvilket nettsted det dreier seg om. Nettstedet har hatt en sårbarhet som har gjort det mulig for angriperne å injisere den ondsinnede koden, som i Internet Explorer automatisk har lastet ned og kjørt («drive-by download»).

«Drive-by-download»-funksjonaliteten har blitt gjort mulig på grunn av en sårbarhet som finnes i Internet Explorer, i alle fall i versjonene 6 til 10. Ifølge FireEye dreier det seg om en sårbarhet knyttet til aksess på utsiden av grensene til et minneområde.

Selve angrepskoden skal i utgangspunktet være kunne utnytte sårbarheten i engelske utgaver av Internet Explore 8 på Windows XP og Internet Explorer på Windows 7. Men det antas å være enkelt å rette angrepet mot andre utgaver av nettleseren.

I minnet
I et nyere innlegg skriver FireEye om noen spesielle detaljer ved angrepskoden. For det første ser det ut til å være likheter mellom infrastrukturen som har blitt brukt i dette angrepet og i et tidligere angrep, Operation DeputyDog, som i pågikk i august i år og var rettet mot japanske virksomheter.

For andre legger ikke den nye angrepskoden, som FireEye kaller for Trojan.APT.9002, igjen noe kode på offerets harddisk. Det betyr at hele det innledende angrepet måtte gjøres relativt raskt, innen den angrepne pc-en ble skrudd av.

Ifølge FireEye mener denne teknikken gjør det vanskeligere å oppdage kompromitterte systemer i et nettverk ved hjelp av tradisjonelle metoder.

Microsoft skal ha et botemiddel mot denne typen angrep, nemlig den nyeste versjonen av
Enhanced Mitigation Experience Toolkit (EMET). Dette skal kunne stoppe utnyttelse av minnesårbarheten.

Det er uklart når Microsoft vil komme med sikkerhetsoppdateringer som fjerner de to nulldagssårbarhetene. Men det vil ikke skje i morgen.

Leave a Reply

Your email address will not be published.