Video: Internet Explorer Zero-Day Vulnerability Under Active Attack (Ekim 2024)
Nisan ayının sonlarında, güvenlik araştırmacıları, Internet Explorer 8’de, saldırganların kurbanların bilgisayarında kötü niyetli kod yürütmesine izin veren bir istismar keşfetti. En can sıkıcı biçimde, bu istismar, muhtemelen nükleer veya diğer toksik maddelere erişimi olan çalışanları hedef alan ABD Çalışma Bakanlığı (DoL) İnternet Sitesi'ndeki vahşi ortamda bulundu. Bu hafta sonu, Microsoft, istismarın IE 8’de sıfır gün için yeni bir gün olduğunu doğruladı.
Exploit
Microsoft, 6, 7, 9 ve 10. sürümlerin etkilenmediğini belirterek, Internet Explorer 8 CVE-2013-1347’deki suistimali onaylayan Cuma günü bir güvenlik danışma belgesi yayınladı.
Microsoft, "Bu bir uzaktan kod yürütme güvenlik açığıdır." "Güvenlik açığı, Internet Explorer'ın silinmiş veya doğru şekilde tahsis edilmemiş bellekteki bir nesneye erişme biçiminde ortaya çıkar. Güvenlik açığı, bir saldırganın geçerli kullanıcı bağlamında rasgele kod yürütmesine izin verecek şekilde belleği bozabilir Internet Explorer’ın içinde
Microsoft, "Saldırgan, bu güvenlik açığından Internet Explorer üzerinden yararlanabilmesi için özel olarak hazırlanmış bir web sitesini barındırabilir ve daha sonra bir kullanıcıyı web sitesini görüntülemeye ikna edebilir" diyor. Ne yazık ki, bu zaten olmuş gibi görünüyor.
Vahşi doğada
Bu istismar ilk olarak Nisan ayı sonlarında güvenlik şirketi Invincea tarafından fark edildi. DoL web sitesinin ziyaretçileri, Poison Ivy Trojan çeşidinin bir kurban cihazına kurulu olduğu başka bir web sitesine yönlendirdiğini belirtti.
AlienVault Labs, kötü amaçlı yazılımın bir dizi etkinlik gerçekleştirmesine karşın, varsa virüs virüsün ne olduğunu belirlemek için kurbanın bilgisayarını da taradığını yazdı. AlienVault'a göre, kötü amaçlı yazılım, diğerleri arasında Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure ve Kasperky yazılımı için kontrol etti.
Cisco Blog'unda Craig Williams, “bu bilgilerin gelecekteki saldırıların başarısını kolaylaştırmak ve sağlamak için kullanılması muhtemel” diyor.
DoL saldırısının arkasındaki motivasyonun ne olduğunu söylemek zor olsa da, istismarın bazı hedefler göz önünde bulundurularak konuşlandırıldığı görülüyor. Williams, bu yılın başlarında gördüğümüz geliştiricilere yapılan saldırıya benzer şekilde, gelen ziyaretçilere bulaştırmak için popüler bir web sitesinin değiştirildiği "sulama deliği" saldırısı olarak nitelendirdi.
DoL, saldırıdaki ilk adım olsa da, asıl hedeflerin Enerji Bakanlığı'nda olması ve özellikle nükleer maddeye erişimi olan çalışanların olması muhtemel görünüyor. AlienVault, toksik maddelere maruz kalmak için çalışanın ücretlendirilmesi hakkında bilgi sağlayan Site Exposure Matrices web sitesinin dahil olduğunu yazar.
Williams, "Çalışma Bakanlığı'nın web sitesinde nükleer içerik barındıran belirli sayfaların ziyaretçileri, dol.ns01.us alan adından yüklenen kötü amaçlı içerik de alıyor" yazdı. Söz konusu DoL sitesi o zamandan beri tamir edildi.
Orada dikkatli ol
Microsoft'un danışmanlığı ayrıca, istismarın etkili olması için mağdurların bir web sitesine çekilmesi gerektiğini de belirtti. Microsoft, "Ancak, her durumda, bir saldırganın kullanıcıları bu web sitelerini ziyaret etmeye zorlama yolu yoktur" diyor.
Bunun hedefli bir saldırı olması muhtemel olduğundan, çoğu kullanıcı istismarın kendisiyle karşılaşmayacaktır. Bununla birlikte, eğer bir grup saldırgan tarafından kullanılıyorsa, başkalarının da yeni sömürüye erişimi olabilir. Her zaman olduğu gibi garip bağlantılar ve gerçek olamayacak kadar iyi tekliflere dikkat edin. Geçmişte, saldırganlar kötü niyetli bağlantıları yaymak için Facebook hesaplarını kaçırmak ya da e-postaların aile üyelerinden geldiği anlaşılıyor gibi sosyal mühendislik taktiklerini kullandılar. Her bağlantıya bir deneme testi vermek iyi bir fikirdir.
Microsoft, istismarın ne zaman veya nasıl ele alınacağını açıklamamıştır.
