微软发布了广受期待的安全更新,解决了在IE浏览器中被网络罪犯们主动盯上的某个严重的零日漏洞。
安全更新修补了五个漏洞,所有这些漏洞都可被远程利用。其影响IE 6到IE9的用户。对于运行在Windows XP、Vista和Windows 7系统上受影响版本的IE浏览器来说该更新文件被评级为“严重”;对于运行在Windows Server 2008系统上的IE浏览器来说其被评级为“中等”。
“如果用户使用IE浏览器查看了某个特别构造的web页面,这些最为严重的漏洞可能允许远程代码执行”,微软在其安全公告中表示。“成功利用任意这些漏洞的攻击者可能获得与当前用户一样的用户权限”。
微软花了不到一周时间来解决该零日漏洞,这个漏洞在周一被某个安全研究人员侦测到。Metasploit渗透测试平台添加了对应的模块,并且POC代码被快速地传播。截至星期二微软已经确认该零日缺陷,并且表示它侦测到以该漏洞为目标的有限的攻击活动。
MS12-063安全公告解决了IE浏览器中处理内存中已删除的对象方式的错误。该编码错误造成内存数据损坏,可能被网络罪犯利用来执行恶意代码并且传播恶意软件。微软表示攻击的场景涉及引诱受害人访问某个恶意web站点,该站点的web页面包含的恶意代码嵌入在广告、或是用户产生的内容中。
侦测到该缺陷的安全研究人员Eric Romang将其与Nitro网络黑帮联系起来,这是一个频繁地利用各种漏洞的网络犯罪团体,包括在针对性攻击中利用最近的Java零日漏洞。
IE零日漏洞瞄准工业公司
位于捷克共和国的防病毒软件厂商AVAST表示,它侦测到该最新的IE缺陷与各种各样的其它漏洞结合利用。网络攻击活动由搭建包含该漏洞的恶意web站点所构成。这些攻击利用合法的web站点——大部分属于工业制造商——这些站点包含的缺陷能让攻击者在其中嵌入恶意的代码。
AVAST表示该IE漏洞伴随着利用Adobe Flash中的某个漏洞,携带有由远程访问工具构成的负载数据。在攻击web站点上也侦测到某个Java漏洞。AVAST表示这些web站点可能已经感染Poison Ivy病毒,一个用于窃取凭证并传播恶意软件有效的、自动化的攻击工具套装。
“将这三个漏洞进行组合,攻击者已经覆盖了许多用户。因为在用户的计算机上至少一个应用未打补丁的可能性很高”,AVAST病毒实验室的主管Jind?ich Kubec写到。“我们能推断出其可能与Nitro帮派有关,它们发送携有隐藏RAT工具的、具有针对性的电子邮件到此类公司,以便从目标系统提取数据——因此工业间谍活动是此类攻击的可疑动机”。
位于加利福尼亚州圣马特奥的Alienvault公司的研究人员表示,他们对攻击者使用的IP地址进行追溯,发现其注册的伪造域名与美国和英国国防部承包商、航空业以及武器配件制造商和供应商相关。“我们还发现假冒域名所属的公司生产涡轮机和电源,用于包括公共事业和电厂的好几种设备”,Alienvaul公司研究实验室经理Jamie Blasco写到。