r   e   k   l   a   m   a
r   e   k   l   a   m   a

Przez lukę 0-day w IE10 chińscy hakerzy zajrzeli do komputerów żołnierzy USA

Strona główna AktualnościOPROGRAMOWANIE

Mimo wszystkich starań Microsoftu, nawet w najnowszych wersjach Internet Explorera regularnie odkrywane są nowe luki, pozwalające napastnikom na zdalne ataki, w tym uruchamianie złośliwego kodu na komputerze ofiary. Redmond łata je w miarę regularnie, tak że osoby korzystające z aktualnych wersji systemu i przeglądarki nie powinny się szczególnie martwić – ale czasem zespół odpowiedzialny za bezpieczeństwo Internet Explorera zostaje przyłapany z „opuszczonymi spodniami”. Tak właśnie się stało teraz, gdy weterani armii USA padają ofiarą exploita wykorzystującego lukę CVE-2014-0322.

Watering hole to całkiem dobrze obmyślana forma cyberataku przeciwko konkretnym grupom społecznym, które wydają się odporne na zwykły phishing czy nawet spear phishing. Realizuje się go w trzech etapach: wpierw ustala się, z których witryn WWW korzysta dana grupa, następnie próbuje się zarazić daną witrynę szkodliwym oprogramowaniem, wreszcie zaś czeka, aż ktoś z członków grupy zostanie zarażony (i przeniesie dalej malware do pozostałych, np. w załącznikach do wiadomości e-mail, znacznie chętniej przecież otwieranych, gdy towarzyszą wiadomościom przesłanym przez kolegów). Taki właśnie atak, odkryty przez firmę FireEye, został wyprowadzony przeciwko weteranom wojskowym w USA, najprawdopodobniej przez chińskich hakerów.

Jak informuje FireEye, napastnicy zdołali umieścić w witrynie organizacji US Veterans of Foreign Wars (VFW) pływającą ramkę, która otwierała w tle stronę zawierającą ładunek z exploitem wcześniej nieznanej luki typu use-after-free (alokacji pamięci do wskaźnika po tym, jak została ona przez program zwolniona) w Internet Explorerze 10. Dzięki temu, że w ten sposób napastnik może zmodyfikować pamięć pod dowolnym adresem, systemowe zabezpieczenie ASLR nic w tym wypadku nie daje. Po załadowaniu złośliwego kodu do przeglądarki, uruchamiany jest obiekt Flasha, przez który realizowana jest dalsza część ataku.

r   e   k   l   a   m   a

Ładunek szkodnika instaluje w systemie furtkę ZXShell, która natychmiast po uruchomieniu łączy się z serwerem dowodzenia i kontroli, którego adres prowadzi do Hong Kongu. W ten sposób mogli przejąć loginy i hasła ofiar, wykorzystywać ich komputery do ataków DDoS, uruchamiać zdalnie dowolne oprogramowanie.

Atak pozwolić miał na zinfiltrowanie nie tylko weteranów, ale też wielu aktywnych żołnierzy armii USA, których wielu w dniu ataku korzystało z witryny VFW – 17 lutego jest dniem urodzin Jerzego Waszyngtona, federalnym świętem w Stanach Zjednoczonych. W tym czasie wielu pracowników federalnych było wysłanych do domów, ze względu na srogie warunki pogodowe.

To nie pierwsza taka operacja chińskich hakerów – w ten sposób zaatakowano niezależny think-tank Council on Foreign Relations i witryny kilku powiązanych z nim amerykańskich korporacji, później zaś atak przeprowadzono przeciwko hostowanym na serwerach Harvardu witrynom grup dyskusyjnych zajmujących się kwestiami praw człowieka na Dalekim Wschodzie. FireEye twierdzi też, że napastnicy wcześniej atakowali innymi metodami liczne amerykańskie i japońskie firmy i instytucje rządowe.

Na razie nie wiadomo, kiedy wydana zostanie łatka dla luki CVE-2014-0322, Microsoft nie zdążył jeszcze skomentować sprawy. Warto jednak podkreślić, że jeśli użytkownik IE10 korzysta z Zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET), exploit nie zdoła uruchomić złośliwego kodu – dlatego, jeśli korzystacie z Windows, zalecamy by EMET zainstalować (chroni on nie tylko Internet Explorera, ale też praktycznie wszystkie inne aplikacje dla systemu Microsoftu).

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.