Video: Zero-Day: Internet Explorer 11 Sandbox Bypass (November 2024)
Microsoft heeft een "Fix It" uitgebracht die een zero-day kwetsbaarheid in oudere versies van Internet Explorer aanpakt, die werd gebruikt om bezoekers van de Council on Foreign Relations-website vorige maand te compromitteren.
De zero-day kwetsbaarheid is gerelateerd aan hoe IE toegang krijgt tot "een object n geheugen dat is verwijderd of dat niet correct is toegewezen", zei Microsoft in een beveiligingsadvies op 29 december. Het probleem is aanwezig in Internet Explorer 6, 7, en 8. De nieuwere IE 9 en 10 worden niet beïnvloed.
De "Fix It" is geen permanente patch, maar slechts een tijdelijk mechanisme dat kan worden gebruikt om gebruikers te beschermen totdat de volledige beveiligingsupdate gereed is. Microsoft heeft niet bekendgemaakt of de update klaar is voor de patch dinsdag van januari, gepland voor 8 januari.
"Op dit moment wordt het ten zeerste aanbevolen om Fix it toe te passen als je niet kunt upgraden naar Internet Explorer 9 of 10 of als je nog geen oplossing hebt toegepast, " schreef Johannes Ullrich van SANS Technology Institute op Internet Storm Center blog.
Rijd door downloadaanvallen
Dit beveiligingslek is vooral gevaarlijk omdat aanvallers het kunnen misbruiken tijdens een drive-by download-aanval. Slachtoffers die de booby-trapped website bezoeken, worden geïnfecteerd zonder te klikken of iets op de site te doen.
Aanvallers hebben geknoeid met de Council on Foreign Relations-website om deze fout te benutten, meldden onderzoekers van FireEye vorige week. Bezoekers van de website van de denktank van het buitenlands beleid waren besmet met de Bifrose-malware, een achterdeur waarmee aanvallers bestanden kunnen stelen die op de computer zijn opgeslagen.
Het feit dat met de site van CFR is geknoeid, impliceert dat de beoogde slachtoffers mensen zijn die geïnteresseerd zijn in het Amerikaanse buitenlands beleid, vertelde Alex Horan van CORE Security aan SecurityWatch . "Controle over hun machines en het kunnen lezen van al hun lokale documenten zou een schat aan informatie zijn, " zei Horan. Zero-day-aanvallen zijn "duur" in de zin dat ze moeilijker te ontwikkelen zijn, dus dat doel moet de moeite waard zijn, zei hij.
Slachtoffers zijn momenteel geconcentreerd in Noord-Amerika, wat wijst op een gerichte aanvalscampagne, zei Symantec Security Response in haar blog.
De kwaadaardige code heeft de exploit gediend voor browsers waarvan de besturingssysteemtaal Engels (VS), Chinees (China), Chinees (Taiwan), Japans, Koreaans of Russisch was, schreef Darien Kindlund van FireEye.
CFR is mogelijk al vanaf 7 december geïnfecteerd, zei Chester Wisniewski, senior beveiligingsadviseur bij Sophos. Ten minste vijf extra websites zijn geknoeid, "suggereert dat de aanval meer voorkomt dan oorspronkelijk gedacht, " maar er lijkt geen duidelijk verband tussen de slachtoffers te bestaan, zei Wisniewski.
Het is niet ongebruikelijk om aanvallen rond de feestdagen te zien, vertelde Ziv Mador, directeur van beveiligingsonderzoek bij Trustwave, aan SecurityWatch . "Het gebeurt omdat de reactie door beveiligingsleveranciers, door de softwareleverancier en door het IT-team van de betrokken organisatie langzamer is dan normaal, " zei Mador.
Fix it en oplossingen
Gebruikers die niet kunnen upgraden naar IE 9 of 10 of de Fix It niet kunnen toepassen, moeten een alternatieve webbrowser gebruiken totdat de volledige patch beschikbaar is. Microsoft heeft ook aanbevolen dat gebruikers een firewall hebben en ervoor zorgen dat alle software en beveiligingsproducten volledig zijn gepatcht en bijgewerkt. Omdat deze aanval Java en Flash gebruikt, raadde Jamie Blasco van AlienVault aan om voorlopig software van derden in de browser te vermijden.
Hoewel Fix It eenvoudig is aan te brengen en geen herstart vereist, heeft het "een klein effect op de opstarttijd van Internet Explorer", schreef Cristian Craioveanu, lid van het MSRC Engineering-team, op het MSRC-blog. Wanneer de laatste patch eindelijk beschikbaar is, moeten gebruikers de tijdelijke oplossing verwijderen om de opstarttijd van de browser opnieuw te versnellen.
Deze aanval was "nog een aangrijpende herinnering" dat werken op de computer als een niet-administratieve gebruiker in deze situaties zijn vruchten kan afwerpen, zei Wisniewski. Als een niet-bevoorrechte gebruiker zijn de aanvallers beperkt in de hoeveelheid schade die ze kunnen veroorzaken.
Volg haar op Twitter @zdFYRashid voor meer informatie over Fahmida.
