2010. június 24., csütörtök

0day Internet Explorer sebezhetőség - Operation Aurora

Mivel nem holmi nehezen bekövetkező dolgok együttes fennállásakor súlyos veszély a nemrégiben felfedezett 0day Internet Explorer sebezhetőség, ezért jobb minden fórumon figyelmeztetni erre a felhasználókat.
Az eddig elérhető adatok alapján most én is szeretném megtenni, hivatkozva természetesen a forrásokra.
0. (Frissítve: 2010. január 21.)
Amint arra számítani lehetett a Microsoft nem várja meg a következő hónapban esedékes patch keddjét, hanem rendkívüli hibajavítást ad ki az elmúlt héten nagy vihart kavart Internet Explorer sérülékenységére. A Microsoft szerint a foltozás már a mai napon - január 21-én - elérhető lesz amerikai idő szerint reggel 10 órakor. Hazai idő szerint pedig körülbelül este 6 óra körül. Megtörtént - érdemes azonnal telepíteni a frissítést!

1.
Bár a sebezhetőség a böngésző összes támogatott változatát érinti, ez a támadás csak IE6 esetében megbízható, (most már IE 7 is érintett), az IE8-ban alapértelmezett DEP pedig szintén megakadályozhatja a sikeres kihasználást.
2.
Az exploit most már szabadon kering az interneten.
Csütörtökön beküldték az exploit kódot elemzésre a Wepawet névre hallgató exploit elemző weboldalra, ennélfogva az bárki számára hozzáférhetővé vált.
Dave Marcus, a McAfee biztonsági kutatásokért és kommunikációért felelős igazgatója szerint péntekre az exploit beépítésre került legalább egy publikusan elérhető "hacking eszközbe", így felbukkanhat az online támadások során. Az igazgató szerint a helyzet valóban megváltozott most, hogy az exploit szabadon elérhetővé vált.
A támadás nagyon megbízhatóan működik Windows XP/IE6 kombóval, esetleg módosítani kell ahhoz, hogy működjön az újabb böngészőkkel is (megtörtént).
Az incidenst közelebbről ismerő emberek szerint a Google mellett 33 másik vállalat, például az Adobe is érintett volt a támadásban.
A Symantec és a Juniper Networks csütörtökön bejelentette, hogy vizsgálják az incidenst, a Yahoo-t, a Northrop Grumman-t és a Dow Chemical-t szintén említik a jelentésekben, mint a támadások áldozatait.
A Microsoft ugyan publikált egy biztonsági figyelmeztetőt, de eddig nem utalt arra, hogy a rendszeres, havi egy alkalommal, a hónap második keddjén (az ún. "patch kedden") megjelenő frissítési csomagján kívül kívánná javítani ezt a sérülékenységet. Ez azt jelenti, hogy ha a Microsoft nem javítja a bugot soron kívül, akkor a javításra legelőbb február 9-én, azaz több mint három hét múlva kerülhet csak sor.
A biztonsági kutatók szerint ezt a sebezhetőséget csak nagyon nehezen lehetne kihasználni Windows Vista és Windows 7 operációs rendszereken a beléjük épített fejlett memóriavédelmi technológiáknak köszönhetően.
A McAfee-s Marcus szerint - az általuk a vállalati ügyfelektől hallott aggodalmak mennyiségét figyelembe véve - erősen valószínű egy "out-of-cycle", azaz soron kívüli javítás a Microsoft-tól.
A probléma elég súlyosnak bizonyult ahhoz, hogy Németország szövetségi IT biztonsági ügynöksége, a Federal Office for Information Security egy figyelmeztetőt adjon ki, amelyben azt javasolja a felhasználóknak, hogy a hiba kijavításáig használjanak alternatív böngészőt az Internet Explorer helyett.
Ezt a németek komolyan is vették.
Forrás: HUP.hu
3.
  • A 0-day IE exploitot Dino Dai Zovi (állítása szerint) megbízhatóan "portolta" IE7-re WinXP és Vista alá
  • A legjobb védekezési módszernek a Data Execution Prevention bekapcsolása tekinthető. A következő konfigurációkon (megfelelő hardver és BIOS beállítások esetén) ez alapértelmezett:
    - Internet Explorer 8 + Windows XP Service Pack 3
    - Internet Explorer 8 + Windows Vista Service Pack 1 vagy későbbi
    - Internet Explorer 8 + Windows Server 2008
    - Internet Explorer 8 + Windows 7
  • Windows XP SP2 valamint Vista RTM felhasználók használhatják ezt a csomagot a DEP engedélyezésére. További infók a megelőzéssel kapcsolatban erre.
  • Az F-Secure arról számol be, hogy múlt héten(!) a hosszú ideig javítatlan Adobe Reader sebezhetőséget használták ki több, az amerikai hadsereggel együttműködő szervezettel szemben. A támadás célzottságát jól mutatja, hogy a kártékony kóddal megspékelt dokumentum egy valódi, Védelmi Minisztérium által szervezett konferenciára szóló meghívó volt. A sikeres kihasználást követően a trójai egy HTTP kapcsolaton keresztül egy taivani IP címhez kapcsolódott.

Nincsenek megjegyzések:

Megjegyzés küldése