Utilizatorii Internet Explorer, lăsaţi descoperiţi în faţa atacurilor cu malware (UPDATE)

Autori: Aurelian Mihai, Liviu - Andrei Mihai 12.11.2013
Utilizatorii Internet Explorer, lăsaţi descoperiţi  în faţa atacurilor cu malware (UPDATE)

UPDATE: Microsoft a confirmat problemele semnalate de experţii companiei de securitate FireEye, ba chiar au admis că acestea sunt mai grave decât părea iniţial, fiind afectate toate versiunile de Windows începând cu venerabilul Windows XP de acum 12 ani şi până la recent lansatul Windows 8.1.

Reprezentanţii companiei din Redmond încearcă să calmeze spiritele anunţând că vor fi puse la dispoziţie patch-urile necesare chiar din cursul zile de mâine, în versiuni adaptate pentru toate versiunile Windows afectate.


Descoperite doar recent de experţii companiei de securitate FireEye, două vulnerabilităţi ce apar în diverse configuraţii cu Windows XP şi Windows 7 pe care rulează versiunile Internet Explorer 7, 8, 9 şi 10 sunt exploatate cu diverse website-uri compromise pentru a infiltra forme avansate de malware în PC-urile vizitatorilor.

Utilizatorii Internet Explorer, lăsaţi descoperiţi  în faţa atacurilor cu malware

Exploit-ul clasificat în categoria 0-day, cu risc maxim de infectare, foloseşte cel puţin două metode distincte pentru ocolirea barierelor de securitate adăugate de Microsoft în versiunile mai noi de Internet Explorer. Prima dintre metode permite atacatorilor să acceseze şi să obţină control asupra memoriei de sistem a PC-ului victimă, iar a doua obţine informaţii esenţiale despre configuraţie necesare pentru finalizarea atacului. Momentan, atacul pare să vizeze numai ediţiile în limba engleză de Internet Explorer, însă exploit-ul poate fi adaptat cu minim de efort şi pentru alte limbi.

Potrivit unei analize amănunţite întocmite de FireEye, atacul neobişnuit de sofisticat şi persistent este realizat strecurând porţiuni de cod infectat într-un „website de importanţă strategică, ce atrage un număr foarte mare de vizitatori cu subiecte de interes naţional şi internaţional”. Atacatorii folosesc drept centre de comandă servere ce au mai fost folosite şi într-o altă campanie similară, cunoscută drept Operation DeputyDog. Dar spre deosebire de ultimul atac, noua campanie apelează la cod infectat ce este rulat exclusiv în memoria RAM, fără a lăsa pe hard disk aproape nici un indiciu care să poată fi folosit pentru identificarea PC-urilor compromise.

Din fericire acest gen de atac poate fi blocat relativ uşor, instalând ultima versiune a utilitarului Microsoft EMET, urmată din alegerea profilului Maximum Security meniul System Configuraţion.