黑客正在积极利用一种新发现的针对Internet Explorer 10浏览器的零日漏洞。美国对外战争退伍军人(U.S. Veterans of Foreign Wars,缩写为VFW)网站遭到的水坑攻击(Water hole attack)用到此漏洞。
此次对VFW的攻击行动是FireEye公司的安全研究人员发现的,取名为“雪人行动”(Operation Snowman)。雪人行动的操作与DeputyDog和Operation Ephemeral Hydra类似,做法是利用零日漏洞提送远程访问木马,出击重要战略目标。
据FireEye的研究人员介绍,雪人行动用到的零日漏洞攻击(CVE-2014-0322)为一“经典偷渡式下载攻击”(Classic drive-by download attack),“经典偷渡式下载攻击”一词是指一种针对浏览器的攻击手段,做法是以欺骗的手法将网站访问者引向已经受到恶意软件感染的网站。安全公司FireEye称,攻击者在VFW的HTML码里加了一个iframe,用来在后台加载一个受感染的网页。该段代码在IE 10浏览器中加载后,会运行一个Flash对象,Flash对象然后下载、解码并执行一个经XOR编码过的远端服务器有效载荷。
"此漏洞被发现后,Malwarebytes公司的研究人员Jerome Segura对攻击进行了测试,成功地在Windows 7系统里的Internet Explorer 10中用Flash Player的最新版本复制了网页感染结果。如Segura指出的,此安全漏洞“利用‘释放后使用’(Use-after-free)的错误,让攻击者借助损坏的Adobe Flash文件直接访问任意地址的内存,得以绕过Address Space Layout Randomization(ASLR)和( DEP)”。
不过,如果用户的IE浏览器是其他的版本或是安装了微软的缓解体验工具包(Experience Mitigation Toolkit,缩写为EMET),这个漏洞就不会有影响。
“雪人攻击瞄着的可能目标是军事性部门,以窃取军事情报,”FireEye的研究人员说。“除了退役人员以外,现役军人也使用VFW网站。2月17日星期一是美国的假日,而且,由于严重冬季风暴许多美国国会大厦星期四关门,攻击的出现可能不是个巧合。”
FireEye and Microsoft are currently collaborating as part of an investigation in to the IE 10 flaw and subsequent exploit. The Redmond giant has confirmed the vulnerability, stating:FireEye正与微软合作研究IE 10的漏洞及相应的攻击。软件巨头微软承认存在此漏洞,发了如下的说明:
“微软注意到针对IE浏览器的攻击,目前的目标是那些使用Internet Explorer 10的客户。我们正在研究对策。我们将采取相应的措施保护客户利益。”
微软近日发布了一组针对Internet Explorer各版本的更新补丁后的第三天,有人披露了上述的安全问题。微软共发布了7个更新补丁,以修复32个漏洞,其中IE 10浏览器的一项更新修复15个漏洞。
