Peneliti keamanan mengungkapkan bahwa serangkaian "Lubang berair" telah dilakukan memanfaatkan kerentanan zero-day IE8 untuk menargetkan ahli Pemerintah AS bekerja pada penelitian senjata nuklir.
Kabar ini tidak mengejutkan namun sangat memprihatinkan, target utama dari serangan berbagai kelompok penelitian seperti komponen Departemen Tenaga Kerja AS dan Departemen Energi AS, berita telah dikonfirmasi oleh perusahaan keamanan pokok dan oleh perusahaan Microsoft.
Cacat yang telah digunakan dalam serangkaian "lubang berair" serangan, mari kita mengingatkan bahwa "Lubang berair" adalah teknik serangan menyadari mengorbankan situs yang sah menggunakan eksploitasi "drive-by" . Para penyerang membatasi penonton mereka ke individu yang tertarik untuk konten spesifik yang diajukan oleh situs yang ditargetkan, dengan cara ini ketika korban mengunjungi halaman Trojan backdoor diinstal pada komputer.
Situs dikompromikan untuk mengeksploitasi IE8 zero-day adalah Departemen Situs Matriks Paparan Energi situs (SEM), situs ini menyediakan informasi tentang "penyakit terkait nuklir" terkait dengan Departemen Energi fasilitas karyawan yang mengalami masalah kesehatan seperti akibat dari kegiatan profesional mereka.
Komunitas Keamanan mengandaikan bahwa di balik cacat eksploitasi IE8 zero-day ada sekelompok hacker Cina dikenal sebagai "DeepPanda" yang membajak pengunjung ke situs dikompromikan untuk menyebarkan Poison Ivy Trojan melalui eksekusi dari "drive-by download exploit".
perusahaan Keamanan FireEye mengungkapkan bahwa IE8 baru mengeksploitasi 0-hari dapat bekerja melawan Internet Explorer 8 untuk semua versi Windows XP dan di atas, termasuk Windows Server 2003, 2008 dan R2.
"Ini pemeriksaan tertentu memanfaatkan untuk versi OS, dan hanya berjalan pada Windows XP. Kami mampu mereproduksi eksekusi kode dan konfirmasi itu mengeksploitasi zero-day bekerja melawan IE8. Selama penelitian kami, kami juga menemukan mengeksploitasi membangun sebuah rantai ROP pada msvcrt.dll non-ASLRed, dan kami memverifikasi bisa juga bekerja melawan IE8 pada Windows 7. Jadi kami percaya harus ada beberapa eksploitasi lainnya penargetan IE8 pada Windows 7. "pos negara FireEye.
Pada saat ini tidak ada informasi tentang informasi yang dicuri tetapi jelas bahwa kampanye ditemukan berkaitan dengan aktivitas spionase maya karena berbagai dokumen rahasia yang dikelola oleh departemen yang ditargetkan.
Microsoft mengeluarkan penasihat keamanan pada Jumat mengumumkan penyelidikan pada acara tersebut dan mengkonfirmasikan sebagai "kerentanan eksekusi kode remote.", Microsoft mengkonfirmasi pada Jumat bahwa kerentanan zero-day IE8 ada di Internet Explorer 8 untuk semua versi Windows XP dan di atas terpengaruh, termasuk Windows Server 2003, 2008 dan R2.
Microsoft mencatat bahwa pengguna IE6 pada Windows XP, IE7, IE9, dan pengguna IE10 pada Windows 8 dan tablet Surface, tidak terpengaruh oleh cacat keamanan.
Saran berharga lainnya yang disediakan oleh penasehat adalah:
- Mengurangi faktor:
- Secara default, Internet Explorer pada Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 berjalan dalam mode terbatas yang dikenal sebagai Enhanced Security Configuration. Mode ini meringankan kerentanan ini.
- Secara default, semua versi yang didukung dari Microsoft Outlook, Microsoft Outlook Express, dan Mail membuka pesan email HTML Windows dalam zona situs terbatas. Dibatasi situs zona, yang menonaktifkan skrip dan kontrol ActiveX, membantu mengurangi risiko seorang penyerang dapat menggunakan celah ini untuk mengeksekusi kode berbahaya. Jika pengguna mengklik link dalam pesan email, pengguna masih bisa rentan terhadap eksploitasi kerentanan ini melalui skenario serangan berbasis web.
- Penyerang yang berhasil mengeksploitasi kelemahan ini dapat memperoleh hak-hak pengguna yang sama sebagai pengguna saat ini. Akun pengguna yang dikonfigurasi untuk memiliki hak pengguna lebih sedikit pada sistem bisa kurang berdampak dari pengguna yang beroperasi dengan hak pengguna administratif.
- Dalam skenario serangan berbasis web, penyerang bisa menjadi tuan rumah sebuah website yang berisi halaman web yang digunakan untuk mengeksploitasi kerentanan ini. Selain itu, website dikompromikan dan situs yang menerima atau host konten pengguna yang disediakan atau iklan dapat berisi konten yang dibuat khusus yang bisa mengeksploitasi celah ini.
- Dalam semua kasus, penyerang harus ada cara untuk memaksa pengguna untuk mengunjungi situs ini. Sebaliknya, penyerang harus meyakinkan pengguna untuk mengunjungi situs web, biasanya dengan mengajak mereka untuk mengklik link dalam pesan email atau pesan Instant Messenger yang membawa pengguna ke situs penyerang.
0komentar:
Post a Comment