Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (November 2024)
Onderzoekers van Exodus Intelligence meldden dat ze de Fix-It-oplossing konden omzeilen die Microsoft maandag had vrijgegeven voor de nieuwste zero-day kwetsbaarheid in Internet Explorer.
Terwijl de Fix-It het exacte aanvalspad blokkeerde dat werd gebruikt in de aanval op de Council on Foreign Relations-website, konden onderzoekers "de fix omzeilen en een volledig gepatcht systeem met een variatie van de exploit in gevaar brengen", aldus het bericht van vrijdag op het Exodus-blog.
Microsoft is volgens de post op de hoogte gebracht van de nieuwe exploit. Exodus-onderzoekers zeiden dat ze geen details van hun exploit zouden onthullen totdat Microsoft het gat dichtt.
De Fix-It was bedoeld als tijdelijke fix, terwijl het bedrijf aan de volledige patch werkte om de beveiligingsupdate te sluiten. Microsoft heeft niet gezegd wanneer de volledige update voor Internet Explorer beschikbaar zou zijn en het wordt naar verwachting niet opgenomen in de geplande patch dinsdag release van volgende week.
Gebruikers moeten de Enhanced Mitigation Experience 3.5-toolkit van Microsoft downloaden en installeren "als een ander hulpmiddel om uw Windows-systemen tegen verschillende aanvallen te beschermen", schreef Guy Bruneau van SANS Institute op het internet Storm Center-blog. Een eerdere ISC-post had aangetoond hoe EMET 3.5 aanvallen die gericht waren op de IE-kwetsbaarheid kon blokkeren.
Meer gecompromitteerde sites gevonden
FireEye-onderzoekers ontdekten voor het eerst de zero-day-fout toen ze ontdekten dat de Council on Foreign Relations-website was gecompromitteerd en kwaadaardige Flash-bestanden aan nietsvermoedende bezoekers diende. Het blijkt dat een aantal andere politieke, sociale en mensenrechtenwebsites in de VS, Rusland, China en Hong Kong ook zijn geïnfecteerd en malware verspreiden.
De CFR-aanval is mogelijk al op 7 december begonnen, zei FireEye. Aanvallers gebruikten today.swf, een kwaadaardig Adobe Flash-bestand, om een heapspray-aanval tegen IE uit te voeren waardoor de aanvaller op afstand code kon uitvoeren op de geïnfecteerde computer.
Avast-onderzoekers zeiden dat twee Chinese sites over mensenrechten, een krantenwebsite in Hong Kong en een Russische wetenschapssite waren aangepast om een Flash te verspreiden die misbruik maakt van het beveiligingslek in Internet Explorer 8. Beveiligingsonderzoeker Eric Romang vond dezelfde aanval op de website van energie-microturbinefabrikant Capstone Turbine Corporation, evenals op de site van de Chinese dissidentengroep Uygur Haber Ajanski. Capstone Turbine is mogelijk al vanaf 17 december geïnfecteerd.
In september was Capstone Turbine aangepast om malware te verspreiden die een andere zero-day kwetsbaarheid exploiteert, zei Romang.
"Mogelijk zijn de jongens achter CVE-2012-4969 en CVE-2012-4792 hetzelfde", schreef Romang.
Onderzoekers van Symantec hebben de nieuwste aanvallen gekoppeld aan de Elderwood-groep die in het verleden andere zero-day-fouten heeft gebruikt om soortgelijke aanvallen uit te voeren. De groep hergebruikte componenten van het "Elderwood" -platform en verspreidde vergelijkbare Flash-bestanden onder de slachtoffers, zei Symantec. Het kwaadaardige Flash-bestand dat bezoekers van Capston Turbine besmette, had verschillende overeenkomsten met het Flash-bestand dat eerder door de Elderwood-bende werd gebruikt in andere aanvallen, zei Symantec.
"Het is duidelijk geworden dat de groep achter het Elderwood-project nieuwe zero-day kwetsbaarheden blijft produceren voor gebruik bij wateraanvalaanvallen en we verwachten dat ze dit in het nieuwe jaar zullen blijven doen", aldus Symantec.
