Video: PoC: Explotando Zero Day de Word CVE-2017-0199 Handler HTA (Oktober 2024)
Para peneliti di Exodus Intelligence melaporkan dapat melewati solusi Fix-It yang Microsoft telah rilis Senin untuk kerentanan nol-hari terbaru di Internet Explorer.
Sementara Fix-It memblokir jalur serangan yang tepat yang digunakan dalam serangan terhadap situs web Council on Foreign Relations, para peneliti dapat "melewati perbaikan dan kompromi sistem yang sepenuhnya ditambal dengan variasi eksploitasi, " menurut posting Jumat di blog Keluaran.
Microsoft telah diberitahu tentang eksploitasi baru, menurut posting. Peneliti Exodus mengatakan mereka tidak akan mengungkapkan rincian eksploitasi mereka sampai Microsoft memperbaiki lubang tersebut.
Perbaikan-Ini dimaksudkan sebagai perbaikan sementara sementara perusahaan mengerjakan perbaikan penuh untuk menutup pembaruan keamanan. Microsoft belum mengatakan kapan pembaruan lengkap untuk Internet Explorer akan tersedia, dan itu tidak diharapkan untuk dimasukkan dalam rilis Patch Tuesday minggu depan yang dijadwalkan.
Pengguna harus mengunduh dan menginstal toolkit 3.5 dari Enhanced Mitigation Experience 3.5 "sebagai alat lain untuk membantu mempertahankan sistem Windows Anda dari berbagai serangan, " tulis Guy Bruneau dari SANS Institute di blog Internet Storm Center. Sebuah posting ISC sebelumnya telah menunjukkan bagaimana EMET 3.5 dapat memblokir serangan yang menargetkan kerentanan IE.
Lebih Banyak Situs yang Dikompromikan Ditemukan
Peneliti FireEye pertama-tama mengidentifikasi kesalahan zero-day ketika mereka menemukan situs web Council on Foreign Relations telah dikompromikan dan melayani file-file Flash berbahaya untuk pengunjung yang tidak menaruh curiga. Ternyata sejumlah situs politik, sosial dan hak asasi manusia lainnya di AS, Rusia, Cina dan Hong Kong juga telah terinfeksi dan menyebarkan malware.
Serangan CFR mungkin telah dimulai pada 7 Desember, kata FireEye. Penyerang menggunakan today.swf, file Adobe Flash berbahaya, untuk meluncurkan serangan heap spray terhadap IE yang memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh pada komputer yang terinfeksi.
Peneliti Avast mengatakan dua situs hak asasi manusia China, sebuah situs surat kabar Hong Kong dan sebuah situs sains Rusia telah dimodifikasi untuk mendistribusikan Flash yang mengeksploitasi kerentanan di Internet Explorer 8. Peneliti keamanan Eric Romang menemukan serangan yang sama pada situs web microturbine energi Capstone Turbine Corporation., serta di situs milik kelompok pembangkang Cina Uygur Haber Ajanski. Turbin Capstone mungkin telah terinfeksi sejauh 17 Desember.
Kembali pada bulan September, Capstone Turbine telah dimodifikasi untuk mendistribusikan malware yang mengeksploitasi kerentanan zero-day yang berbeda, kata Romang.
"Berpotensi orang-orang di belakang CVE-2012-4969 dan CVE-2012-4792 adalah sama, " tulis Romang.
Peneliti Symantec telah mengaitkan serangan terbaru dengan kelompok Elderwood yang telah menggunakan kelemahan zero-day lainnya untuk meluncurkan serangan serupa di masa lalu. Kelompok itu menggunakan kembali komponen dari platform "Elderwood" dan mendistribusikan file Flash yang serupa kepada para korbannya, kata Symantec. File Flash berbahaya yang menginfeksi pengunjung Turbin Capston memiliki beberapa kesamaan dengan file Flash yang sebelumnya digunakan oleh geng Elderwood dalam serangan lain, kata Symantec.
"Sudah menjadi jelas bahwa kelompok di balik Proyek Elderwood terus menghasilkan kerentanan nol-hari baru untuk digunakan dalam serangan lubang air dan kami berharap mereka akan terus melakukannya di Tahun Baru, " menurut Symantec.
