Vídeo: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Novembro 2024)
A Microsoft lançou um "Corrigir", abordando uma vulnerabilidade de dia zero nas versões mais antigas do Internet Explorer, que foi usada para comprometer os visitantes do site do Conselho de Relações Exteriores no mês passado.
A vulnerabilidade de dia zero está relacionada à maneira como o IE acessa "um objeto na memória que foi excluída ou não foi alocada corretamente", afirmou a Microsoft em um comunicado de segurança em 29 de dezembro. O problema está presente no Internet Explorer 6, 7, e 8. O IE 9 e 10 mais recente não é afetado.
O "Corrigir" não é um patch permanente, mas apenas um mecanismo temporário que pode ser usado para proteger os usuários até que a atualização de segurança completa esteja pronta. A Microsoft não divulgou se a atualização estará pronta para o Patch Tuesday de janeiro, agendado para 8 de janeiro.
"Nesse momento, é altamente recomendável aplicar o Fix it se você não puder atualizar para o Internet Explorer 9 ou 10 ou se ainda não aplicou uma das soluções alternativas", escreveu Johannes Ullrich, do Instituto de Tecnologia da SANS, na Internet Storm Blog do Centro.
Drive By Download Ataques
Essa falha de segurança é particularmente perigosa porque os invasores podem explorá-la em um ataque de download drive-by. As vítimas que visitam o site com armadilha serão infectadas sem clicar ou fazer nada no site.
Os atacantes adulteraram o site do Conselho de Relações Exteriores para explorar essa falha, relataram pesquisadores do FireEye na semana passada. Os visitantes do site do think tank de política externa foram infectados com o malware Bifrose, um backdoor que permite que invasores roubem arquivos armazenados no computador.
O fato de o site da CFR ter sido adulterado implica que as vítimas visadas são pessoas interessadas na política externa dos EUA, disse Alex Horan, da CORE Security, à SecurityWatch . "Obter o controle de suas máquinas e poder ler todos os documentos locais seria um tesouro de informações", disse Horan. Os ataques de dia zero são "caros" no sentido de serem mais difíceis de desenvolver, de modo que esse alvo deve valer o esforço, disse ele.
Atualmente, as vítimas estão concentradas na América do Norte, sugerindo uma campanha de ataque direcionada, disse o Symantec Security Response em seu blog.
O código malicioso serviu a exploração para navegadores cujo idioma do sistema operacional era inglês (EUA), chinês (China), chinês (Taiwan), japonês, coreano ou russo, escreveu Darien Kindlund, da FireEye.
O CFR pode ter sido infectado em 7 de dezembro, disse Chester Wisniewski, consultor sênior de segurança da Sophos. Pelo menos cinco sites adicionais foram adulterados ", sugerindo que o ataque é mais generalizado do que se pensava", mas parece não haver um vínculo óbvio entre as vítimas, disse Wisniewski.
Não é incomum ver ataques na temporada de festas, disse Ziv Mador, diretor de pesquisa de segurança da Trustwave, ao SecurityWatch . "Isso acontece porque a resposta dos fornecedores de segurança, do fornecedor de software e da equipe de TI da organização afetada pode ser mais lenta que o normal", disse Mador.
Corrigir e soluções alternativas
Os usuários que não podem atualizar para o IE 9 ou 10 ou não podem aplicar o Fix It devem usar um navegador da Web alternativo até que o patch completo esteja disponível. A Microsoft também recomendou que os usuários tivessem um firewall instalado e certificando-se de que todos os produtos de software e segurança sejam totalmente corrigidos e atualizados. Como esse ataque usa Java e Flash, Jamie Blasco da AlienVault recomendou evitar o software de terceiros no navegador por enquanto.
Embora o Fix It seja fácil de aplicar e não exija uma reinicialização, "terá um pequeno efeito no tempo de inicialização do Internet Explorer", escreveu Cristian Craioveanu, membro da equipe de engenharia do MSRC, no blog do MSRC. Quando o patch final finalmente estiver disponível, os usuários deverão desinstalar a solução alternativa para acelerar o tempo de inicialização do navegador novamente.
Esse ataque foi "outro lembrete comovente" de que trabalhar no computador como usuário não administrativo pode dar frutos nessas situações, disse Wisniewski. Ser um usuário não privilegiado significa que os atacantes são limitados na quantidade de dano que podem causar.
Para mais informações sobre Fahmida, siga-a no Twitter @zdFYRashid.