Video: Anatomy of an Attack - Zero Day Exploit (November 2024)
Aanvallers misbruiken ernstige kwetsbaarheden in Internet Explorer in een aanval met waterput, waarschuwden onderzoekers van beveiligingsbedrijf FireEye. Gebruikers die worden misleid om toegang te krijgen tot de geïnfecteerde website, worden getroffen door malware die het geheugen van de computer infecteert in een klassieke drive-by-aanval.
Aanvallers hebben de kwaadaardige code die ten minste twee zero-day fouten in Internet Explorer exploiteert, ingebed in 'een strategisch belangrijke website, waarvan bekend is dat deze bezoekers trekt die waarschijnlijk geïnteresseerd zijn in nationaal en internationaal veiligheidsbeleid', zei FireEye vorige week in haar analyse. FireEye heeft de site niet geïdentificeerd buiten het feit dat deze in de Verenigde Staten was gevestigd.
"De exploit maakt gebruik van een nieuw beveiligingslek met betrekking tot informatielekken en een IE-beveiligingslek met betrekking tot geheugentoegang om code-uitvoering te bereiken", schreven onderzoekers van FireEye. "Het is een kwetsbaarheid die op verschillende manieren wordt misbruikt."
De beveiligingslekken zijn aanwezig in Internet Explorer 7, 8, 9 en 10, die op Windows XP of Windows 7 worden uitgevoerd. Terwijl de huidige aanval de Engelse versie van Internet Explorer 7 en 8 op zowel Windows XP als Windows 8 aanpakt, kan de exploit worden gewijzigd om andere versies en talen te richten, zei FireEye.
Ongewoon verfijnde APT
FireEye zei dat deze geavanceerde persistent threat (APT) -campagne enkele van dezelfde commando- en controleservers gebruikt als die welke werden gebruikt in de vorige APT-aanvallen op Japanse en Chinese doelen, bekend als Operation DeputyDog. Deze APT is ongewoon geavanceerd omdat het schadelijke payload distribueert die alleen in het geheugen van de computer wordt gebruikt, vond FireEye. Omdat het zichzelf niet naar schijf schrijft, is het veel moeilijker om forensisch bewijs op geïnfecteerde machines te detecteren of te vinden.
"Door gebruik te maken van strategische webcompromissen in combinatie met tactieken voor de bezorging van de nuttige lading in het geheugen en meerdere geneste methoden voor verduistering, heeft deze campagne bewezen buitengewoon succesvol en ongrijpbaar te zijn", aldus FireEye.
Aangezien de schijfloze malware echter volledig in het geheugen aanwezig is, lijkt het eenvoudig om de machine opnieuw op te starten om de infectie te verwijderen. Aanvallers lijken zich geen zorgen te maken over doorzettingsvermogen, wat suggereert dat de aanvallers 'ervan overtuigd zijn dat hun beoogde doelen eenvoudigweg de gecompromitteerde website opnieuw bezoeken en opnieuw worden geïnfecteerd', schreven onderzoekers van FireEye.
Het betekent ook dat de aanvallers zeer snel bewegen, omdat ze door het netwerk moeten gaan om andere doelen te bereiken of de informatie te vinden die ze zoeken voordat de gebruiker de machine opnieuw opstart en de infectie verwijdert. "Zodra de aanvaller binnenkomt en zijn rechten escaleert, kunnen ze vele andere methoden inzetten om persistentie te bewerkstelligen, " zei Ken Westin, een beveiligingsonderzoeker bij Tripwire.
Onderzoekers van beveiligingsbedrijf Triumfant claimden een toename van schijfloze malware en noemen deze aanvallen Advanced Volatile Threats (AVT).
Niet gerelateerd aan Office-fout
De nieuwste zero-day kwetsbaarheid van Internet Explorer komt na een kritieke fout in Microsoft Office die vorige week ook werd gemeld. De fout in hoe Microsoft Windows en Office toegang krijgen tot TIFF-afbeeldingen staat los van deze bug in Internet Explorer. Hoewel aanvallers de Office-bug al misbruiken, bevinden de meeste doelen zich momenteel in het Midden-Oosten en Azië. Gebruikers worden aangemoedigd om de FixIt te installeren, die het vermogen van de computer om afbeeldingen te openen beperkt, in afwachting van een permanente patch.
FireEye heeft Microsoft op de hoogte gebracht van het beveiligingslek, maar Microsoft heeft nog niet in het openbaar op de fout gereageerd. Het is enorm onwaarschijnlijk dat deze bug op tijd zou worden aangepakt voor de patch dinsdag-release van morgen.
De nieuwste versie van Microsoft EMET, de Enhanced Mitigation Experience Toolkit, blokkeert met succes de aanvallen gericht op de IE-kwetsbaarheden, evenals de Office-versie. Organisaties moeten overwegen EMET te installeren. Gebruikers kunnen ook een upgrade naar versie 11 van Internet Explorer overwegen of andere browsers dan Internet Explorer gebruiken totdat de bug is opgelost.
XP-problemen
Deze nieuwste waterputcampagne laat ook zien hoe aanvallers zich richten op Windows XP-gebruikers. Microsoft heeft gebruikers er herhaaldelijk aan herinnerd dat het na april 2014 geen beveiligingsupdates meer voor Windows XP zal leveren en dat gebruikers moeten upgraden naar nieuwere versies van het besturingssysteem. Beveiligingsonderzoekers geloven dat veel aanvallers zich in de cache van XP-kwetsbaarheden bevinden en geloven dat er een golf van aanvallen op Windows XP zal zijn nadat Microsoft de ondersteuning voor het verouderende besturingssysteem heeft beëindigd.
"Wacht niet langer - upgrade zo snel mogelijk van Windows XP naar iets anders als u waarde hecht aan uw beveiliging, " schreef Graham Cluley, een onafhankelijke beveiligingsonderzoeker, op zijn blog.
