ビデオ: æ ±äº¬å °ç¨®ã ã ¼ã 㠧㠼㠰㠼㠫 еру агкн ща Пщв Ршьыуда (九月 2024)
セキュリティ会社FireEyeの研究者は、攻撃者が水飲み場攻撃でInternet Explorerの深刻な脆弱性を悪用していると警告しています。 感染したWebサイトにだまされたユーザーは、従来のドライブバイ攻撃でコンピューターのメモリに感染するマルウェアに見舞われます。
FireEyeは先週の分析で、攻撃者はInternet Explorerの少なくとも2つのゼロデイの欠陥を悪用する悪意のあるコードを「国内および国際的なセキュリティポリシーに関心のある訪問者を惹きつけることが知られている戦略的に重要なWebサイト」に埋め込みました。 FireEyeは、米国に拠点を置いているという事実以外にサイトを特定しませんでした。
「このエクスプロイトは、新しい情報漏洩の脆弱性とIEの境界外のメモリアクセスの脆弱性を活用して、コード実行を実現します」とFireEyeの研究者は書いています。 「これはさまざまな方法で悪用されている脆弱性の1つです。」
この脆弱性は、Windows XPまたはWindows 7で実行されているInternet Explorer 7、8、9、および10に存在します。現在の攻撃は、Windows XPおよびWindows 8で実行されている英語版のInternet Explorer 7および8を対象としていますFireEyeによると、他のバージョンや言語を対象とするように変更されます。
異常に洗練されたAPT
FireEyeによると、この高度な持続的脅威(APT)キャンペーンは、Operation DeputyDogとして知られる、以前の日本および中国の標的に対するAPT攻撃で使用されたものと同じコマンドアンドコントロールサーバーを使用しています。 FireAyeによると、このAPTはコンピューターのメモリでのみ実行される悪意のあるペイロードを配信するため、非常に洗練されています。 ディスクに自身を書き込むことはないため、感染したマシンでの法医学的証拠の検出または発見ははるかに困難です。
「メモリ内ペイロード配信戦術と複数のネストされた難読化手法とともに戦略的なWebの妥協を活用することにより、このキャンペーンは非常に達成されたとらえどころのないことが証明されました」とFireEye氏は言います。
ただし、ディスクレスマルウェアは完全にメモリに常駐しているため、マシンを再起動するだけで感染を除去できるようです。 FireEyeの研究者によると、攻撃者は執beingであることを心配していないようで、攻撃者は「意図したターゲットが単に侵害されたWebサイトを再訪して再感染することを確信している」ことを示唆しています。
また、ユーザーがマシンを再起動して感染を除去する前に、他のターゲットに到達したり、後の情報を見つけるためにネットワークを介して移動する必要があるため、攻撃者は非常に迅速に移動します。 「攻撃者が権限を取得してエスカレートすると、永続性を確立するために他の多くの方法を展開できます」と、Tripwireのセキュリティ研究者であるKen Westin氏は述べています。
セキュリティ会社Triumfantの研究者は、ディスクレスマルウェアの増加を主張し、これらの攻撃をAdvanced Volatile Threats(AVT)と呼んでいます。
Officeの欠陥とは無関係
Internet Explorerの最新のゼロデイ脆弱性は、先週報告されたMicrosoft Officeの重大な欠陥のすぐ後に発生します。 Microsoft WindowsおよびOfficeがTIFF画像にアクセスする方法の問題は、このInternet Explorerのバグとは無関係です。 攻撃者はすでにOfficeのバグを悪用していますが、ほとんどの標的は現在中東とアジアにあります。 ユーザーは、FixItをインストールすることをお勧めします。FixItは、永続的なパッチを待つ間、コンピューターのグラフィックを開く機能を制限します。
FireEyeはMicrosoftに脆弱性を通知しましたが、Microsoftはこの欠陥についてまだ一般にコメントしていません。 このバグが明日のパッチ火曜日のリリースに間に合うように対処されることは非常にありそうにありません。
Microsoft EMETの最新バージョンであるEnhanced Mitigation Experience Toolkitは、IEの脆弱性とOfficeの脆弱性を標的とする攻撃をブロックします。 組織はEMETのインストールを検討する必要があります。 ユーザーは、Internet Explorerのバージョン11へのアップグレードを検討するか、バグが修正されるまでInternet Explorer以外のブラウザーを使用することもできます。
XPの問題
この最新の散水穴キャンペーンは、攻撃者がWindows XPユーザーをどのように標的にしているかも強調しています。 Microsoftは、2014年4月以降、Windows XPのセキュリティ更新プログラムの提供を停止することをユーザーに繰り返し通知しており、ユーザーはオペレーティングシステムの新しいバージョンにアップグレードする必要があります。 セキュリティ研究者は、多くの攻撃者がXPの脆弱性のキャッシュに座っており、Microsoftが古いオペレーティングシステムのサポートを終了した後、Windows XPを標的とする攻撃の波があると信じています。
「遅延しないでください。セキュリティを重視する場合は、Windows XPからできるだけ早く他の何かにアップグレードしてください」と、独立系セキュリティ研究者のGraham Cluleyはブログに書いています。
