セキュリティウォッチ 研究者がMicrosoft Fix-itをバイパスする、つまりゼロデイ

研究者がMicrosoft Fix-itをバイパスする、つまりゼロデイ

ビデオ: Homeland Security warns of Internet Explorer bug (十一月 2024)

ビデオ: Homeland Security warns of Internet Explorer bug (十一月 2024)
Anonim

Exodus Intelligenceの研究者は、MicrosoftがInternet Explorerの最新のゼロデイ脆弱性のために月曜日にリリースしたFix-It回避策をバイパスできることを報告しました。

Fix-Itは、Foreign RelationsのWebサイトに対する攻撃で使用された正確な攻撃パスをブロックしましたが、金曜日の投稿によると、研究者は「修正をバイパスして、悪用のバリエーションで完全にパッチを当てたシステムを侵害する」ことができましたExodusブログ。

投稿によると、Microsoftは新しいエクスプロイトについて知らされている。 Exodusの研究者は、Microsoftが穴にパッチを当てるまで、エクスプロイトの詳細を開示しないと述べた。

Fix-Itは、会社がセキュリティ更新プログラムを終了するために完全なパッチに取り組んでいる間、一時的な修正を目的としていました。 Microsoftは、Internet Explorerの完全なアップデートがいつ利用可能になるのかについては明言しておらず、来週の予定されているPatch Tuesdayリリースに含まれる予定はありません。

ユーザーは、MicrosoftのEnhanced Mitigation Experience 3.5ツールキットを「Windowsシステムをさまざまな攻撃から守る別のツールとして」ダウンロードしてインストールする必要があります」とSANS InstituteのGuy BruneauはInternet Storm Centerブログに書いています。 以前のISCの投稿では、EMET 3.5がIEの脆弱性を標的とした攻撃をブロックする方法を示しました。

より多くの侵害されたサイトが見つかりました

FireEyeの研究者は、外交評議会のWebサイトが侵害され、疑いを持たない訪問者に悪意のあるFlashファイルを提供していたことを発見したときに、ゼロデイの欠陥を最初に特定しました。 米国、ロシア、中国、香港のその他の多くの政治、社会、人権サイトも感染しており、マルウェアを配布していることがわかりました。

FireEyeによると、CFR攻撃は12月7日から始まっている可能性があります。 攻撃者は、悪意のあるAdobe Flashファイルであるtoday.swfを使用して、IEに対してヒープスプレー攻撃を仕掛け、感染したコンピューターで攻撃者がリモートでコードを実行できるようにしました。

アバストの研究者は、中国の2つの人権サイト、香港の新聞サイト、ロシアの科学サイトがInternet Explorer 8の脆弱性を悪用するFlashを配布するように変更されたと述べました。 、および中国の反体制派グループであるUygur Haber Ajanskiに属するサイト上。 Capstone Turbineは、12月17日までさかのぼって感染した可能性があります。

9月にCapstone Turbineは、別のゼロデイ脆弱性を悪用するマルウェアを配布するように変更されていた、とRomang氏は言いました。

「潜在的に、CVE-2012-4969とCVE-2012-4792の背後にいる人たちは同じです」とRomangは書いています。

シマンテックの研究者は、過去の同様の攻撃を開始するために他のゼロデイ欠陥を使用したエルダーウッドグループに最新の攻撃をリンクしました。 シマンテックによると、同グループは「エルダーウッド」プラットフォームのコンポーネントを再利用し、同様のFlashファイルを被害者に配布したという。 Capston Turbineの訪問者に感染した悪意のあるFlashファイルは、以前に他の攻撃でElderwoodギャングが使用していたFlashファイルといくつかの類似点がありました。

シマンテックによると、「エルダーウッドプロジェクトの背後にあるグループが、じょうろ攻撃で使用するための新しいゼロデイ脆弱性を生み出し続けており、新年に引き続きそうすることが明らかになっています。」

研究者がMicrosoft Fix-itをバイパスする、つまりゼロデイ