IT-sikkerhetsselskapet FireEye melder om en nulldagssårbarhet i Internet Explorer 9 og 10 som ser ut til å bli utnyttet i angrep mot amerikansk, militært personell. Men ifølge Websense Security Labs dreier det seg trolig om den samme sårbarheten (CVE-2014-0322) som i andre halvdel av januar kan blitt utnyttet i angrep mot den franske luftfartsindustriforeningen GIFAS.
Microsoft sier i en uttalelse til The Next Web at selskapet er kjent med begrensede, rettede angrep mot IE9 og IE10. Selskapet anbefaler at brukerne oppgraderer til IE11, noe de fleste med Windows 7 og nyere har mulighet til.
Fireeye kaller skadevareangrepet for Operation SnowMan, fordi det inntraff samtidig med snøværet i Washington D.C. denne uken.
Angrepet skjer via en webside som kjører et Flash-objekt, som via ActionScript får tilgang til systemminne ved å omgå sikkerhetsteknologiene ASLR (Address Space Layout Randomization) og DEP (Data Execution Prevention). Selve sårbarheten finnes i Internet Explorer og skyldes en «use-after-free»-feil, som gjør det mulig å endre én byte på et vilkårlig sted i minnet, noe som kan utnyttes av ondsinnet Flash-kode til å laste ned mer angrepskode. Angrepskoden er kode og integrert i slutt av en JPEG-fil. Etter dekoding oppretter skadevaren blant annet en .exe-fil som dannet en ZxShell-backdør til systemet.
Angrepskoden bruker en ActiveX-kontroll til å sjekke om Microsofts Experience Mitigation Toolkit (EMET) er tilstede på maskinen. Dersom dette blir funnet, avbrytes angrepet. Derfor er installasjon av EMET et mulig, foreløpig botemiddel mot angrepene.
Angrepskoden skal ikke kunne brukes i IE11 eller andre nettlesere. Fordi angrepene i alle fall så langt er såpass begrensede, kan man ikke regne med at Microsoft vil komme med noen sikkerhetsfiks før tidligst i begynnelsen av mars.
Leave a Reply