Vídeo: Chernobyl: A História Completa (Novembro 2024)
No final de abril, os pesquisadores de segurança descobriram uma exploração no Internet Explorer 8 que permitia que os invasores executassem códigos maliciosos no computador da vítima. O mais preocupante é que a exploração foi encontrada na natureza em um site do Departamento de Trabalho dos EUA (DoL), possivelmente tendo como alvo trabalhadores com acesso a materiais nucleares ou outros materiais tóxicos. Neste fim de semana, a Microsoft confirmou que a exploração era um novo dia zero no IE 8.
The Exploit
A Microsoft emitiu um comunicado de segurança na sexta-feira, confirmando a exploração no Internet Explorer 8 CVE-2013-1347, observando que as versões 6, 7, 9 e 10 não foram afetadas.
"Esta é uma vulnerabilidade de execução remota de código", escreveu a Microsoft. "A vulnerabilidade existe na maneira em que o Internet Explorer acessa um objeto na memória que foi excluído ou não foi alocado corretamente. A vulnerabilidade pode corromper a memória de uma maneira que pode permitir que um invasor execute código arbitrário no contexto do usuário atual no Internet Explorer ".
"Um invasor pode hospedar um site especialmente criado para explorar essa vulnerabilidade por meio do Internet Explorer e convencer um usuário a exibir o site", escreve a Microsoft. Infelizmente, isso parece já ter acontecido.
Na natureza
A exploração foi notada pela primeira vez no final de abril pela empresa de segurança Invincea. Eles observaram que o site do DoL parecia redirecionar os visitantes para outro site em que uma variante do Poison Ivy Trojan foi instalada no dispositivo da vítima.
O AlienVault Labs escreveu que, embora o malware executasse uma série de atividades, ele também examinou o computador da vítima para determinar o que estava presente, se houver algum vírus. De acordo com a AlienVault, o malware verificou o presente software Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure e Kasperky, entre outros.
No blog da Cisco, Craig Williams escreve: "essas informações provavelmente serão usadas para facilitar e garantir o sucesso de ataques futuros".
Embora seja difícil dizer quais são as motivações por trás do ataque de DoL, a exploração parece ter sido implantada com alguns alvos em mente. Williams o chamou de ataque "watering hole", onde um site popular é modificado para infectar os visitantes que chegam - semelhante ao ataque aos desenvolvedores que vimos no início deste ano.
Embora o Departamento de Defesa tenha sido o primeiro passo no ataque, parece possível que os alvos reais estivessem no Departamento de Energia - especificamente funcionários com acesso a material nuclear. A AlienVault escreve que o site Matrizes de Exposição do Site, que hospeda informações sobre a remuneração dos funcionários pela exposição a materiais tóxicos, estava envolvido.
Williams escreveu: "Os visitantes de páginas específicas que hospedam conteúdo relacionado a energia nuclear no site do Departamento do Trabalho também estavam recebendo conteúdo malicioso carregado do domínio dol.ns01.us". O site DoL em questão já foi reparado.
Cuidado lá fora
O comunicado da Microsoft também observa que as vítimas precisariam ser atraídas para um site para que a exploração fosse eficaz. "Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites", escreve a Microsoft.
Como é possível que seja um ataque direcionado, a maioria dos usuários provavelmente não encontrará a exploração por conta própria. No entanto, se estiver sendo usado por um grupo de atacantes, é provável que outros também tenham acesso à nova exploração. Como sempre, fique atento a links estranhos e ofertas boas demais para serem verdadeiras. No passado, os atacantes usavam táticas de engenharia social como seqüestrar contas do Facebook para espalhar links maliciosos ou fazer com que emails parecessem chegar dos membros da família. É uma boa idéia fazer um teste de sniff em cada link.
A Microsoft não anunciou quando ou como a exploração será resolvida.