Microsoft izdod labojumus, ti, nulles dienai

Korporācija Microsoft laidusi klajā “Fix It”, kas novērsa nulles dienas ievainojamību vecākajās Internet Explorer versijās, kuru pagājušajā mēnesī izmantoja, lai kompromitētu Padomes apmeklētājus Ārlietu vietnē.

Nulles dienas ievainojamība ir saistīta ar to, kā IE piekļūst "objektam atmiņai, kas ir izdzēsta vai nav pareizi iedalīta", "Microsoft teica drošības ieteikumā 29. decembrī. Šī problēma pastāv pārlūkprogrammā Internet Explorer 6, 7, un 8. jaunāki IE 9 un 10 netiek ietekmēti.

"Labot" nav pastāvīgs ielāps, bet tikai pagaidu mehānisms, ko var izmantot lietotāju aizsardzībai, līdz pilnīgs drošības atjauninājums ir gatavs. Microsoft nav atklājis, vai atjauninājums būs gatavs janvāra ielāpu otrdienai, kas paredzēta 8. janvārī.

"Šajā brīdī ir ļoti ieteicams izmantot labojumu, ja nevarat jaunināt uz pārlūkprogrammu Internet Explorer 9 vai 10 vai ja vēl neesat piemērojis kādu no risinājumiem, " Internet Storm rakstīja SANS Tehnoloģiju institūta pārstāvis Johannes Ullrich. Centra emuārs.

Veiciet lejupielādes uzbrukumus

Šī drošības kļūda ir īpaši bīstama, jo uzbrucēji to var izmantot, veicot uzbrukumu ar automātisku lejupielādi. Upuri, kas apmeklē vietni, kurā atrodas slazdi, tiks inficēti, neklikšķinot un neko nedarot vietnē.

Uzbrucēji manipulēja ar Ārlietu padomes tīmekļa vietni, lai izmantotu šo trūkumu, pagājušajā nedēļā ziņoja FireEye pētnieki. Ārpolitikas ideju laboratorijas vietnes apmeklētāji tika inficēti ar ļaundabīgo programmatūru Bifrose - aizmugures durvju palīdzību, kas uzbrucējiem ļauj nozagt datorā saglabātos failus.

Fakts, ka CFR vietne tika izjaukta, nozīmē, ka mērķa upuri ir cilvēki, kurus interesē ASV ārpolitika, aģentūrai SecurityWatch pastāstīja Alekss Horans no CORE Security . "Pārvaldīt savas mašīnas un spēt izlasīt visus viņu vietējos dokumentus būtu informācijas bagātības, " sacīja Horans. Nulles dienu uzbrukumi ir "dārgi" tādā nozīmē, ka tos ir grūtāk attīstīt, tāpēc šim mērķim ir jāpieliek pūles vērts, viņš sacīja.

Upuri pašlaik ir koncentrēti Ziemeļamerikā, ierosinot mērķtiecīgu uzbrukuma kampaņu, savā emuārā sacīja Symantec Security Response.

Ļaunprātīgais kods izmantoja pārlūkus, kuru operētājsistēmas valoda bija vai nu angļu (ASV), ķīniešu (Ķīna), ķīniešu (Taivāna), japāņu, korejiešu vai krievu, rakstīja FireEye pārstāve Darien Kindlund.

Iespējams, ka CFR ir inficēts jau 7. decembrī, sacīja Česters Višņevskis, Sofijas vecākais drošības padomnieks. Ir sagrozītas vismaz piecas papildu tīmekļa vietnes, "kas liek domāt, ka uzbrukums ir izplatītāks, nekā sākotnēji tika domāts", taču šķiet, ka upuru starpā nav acīmredzamas saiknes, sacīja Višņevskis.

Nav neparasti redzēt uzbrukumus ap svētku laiku, portālam SecurityWatch stāstīja Trustwave drošības pētījumu direktors Zivs Madors. "Tas notiek tāpēc, ka drošības pārdevēji, programmatūras pārdevējs un skartās organizācijas IT komanda var reaģēt lēnāk nekā parasti, " sacīja Madors.

Labot un novērst

Lietotājiem, kuri nevar jaunināt uz IE 9 vai 10 vai kuri nevar lietot labošanas funkciju, vajadzētu izmantot alternatīvu tīmekļa pārlūku, līdz ir pieejams pilns ielāps. Microsoft arī ieteica lietotājiem izveidot ugunsmūri un pārliecināties, ka visa programmatūra un drošības produkti ir pilnībā izlaboti un atjaunināti. Tā kā šis uzbrukums izmanto Java un Flash, AlienVault's Jamie Blasco ieteica pagaidām pārlūkprogrammā izvairīties no trešo pušu programmatūras.

Kaut arī labošana ir viegli piemērojama un neprasa atkārtotu sāknēšanu, tā "maz ietekmēs Internet Explorer palaišanas laiku", MSRC emuārā rakstīja Cristian Craioveanu, MSRC Engineering komandas loceklis. Kad pēdējais labojums beidzot ir pieejams, lietotājiem vajadzētu atinstalēt problēmu, lai atkal paātrinātu pārlūka palaišanas laiku.

Šis uzbrukums bija "vēl viens nozīmīgs atgādinājums", ka darbs pie datora kā lietotājam, kurš nav administratīvs, var atmaksāties šajās situācijās, sacīja Višņevskis. Ja lietotājs nav priviliģēts, uzbrucējiem ir ierobežots kaitējuma apmērs, ko viņi var nodarīt.

Lai uzzinātu vairāk no Fahmida, sekojiet viņai Twitter @zdFYRashid.