Vídeo: ENCHENTES urbanas ou INUNDAÇÕES? Ou seriam ALAGAMENTOS? (Outubro 2024)
Os atacantes estão explorando sérias vulnerabilidades no Internet Explorer em um ataque de água, alertaram pesquisadores da empresa de segurança FireEye. Os usuários induzidos a acessar o site infectado são atingidos por malware que infecta a memória do computador em um ataque drive-by clássico.
Os invasores incorporaram o código malicioso que explora pelo menos duas falhas de dia zero no Internet Explorer em "um site estrategicamente importante, conhecido por atrair visitantes que provavelmente estão interessados na política de segurança nacional e internacional", disse o FireEye em sua análise na semana passada. O FireEye não identificou o site além do fato de ele estar sediado nos Estados Unidos.
"A exploração utiliza uma nova vulnerabilidade de vazamento de informações e uma vulnerabilidade de acesso à memória fora dos limites do IE para obter a execução do código", escreveram os pesquisadores do FireEye. "É uma vulnerabilidade sendo explorada de várias maneiras diferentes".
As vulnerabilidades estão presentes no Internet Explorer 7, 8, 9 e 10, executando no Windows XP ou Windows 7. Enquanto o ataque atual tem como alvo a versão em inglês do Internet Explorer 7 e 8 em execução no Windows XP e no Windows 8, a exploração pode ser alterado para atingir outras versões e idiomas, disse o FireEye.
APT invulgarmente sofisticado
A FireEye disse que esta campanha avançada de ameaça persistente (APT) está usando alguns dos mesmos servidores de comando e controle usados nos ataques anteriores do APT contra alvos japoneses e chineses, conhecidos como Operation DeputyDog. Esse APT é extraordinariamente sofisticado porque distribui uma carga maliciosa que é executada apenas na memória do computador, segundo o FireEye. Como não se escreve no disco, é muito mais difícil detectar ou encontrar evidências forenses em máquinas infectadas.
"Ao utilizar compromissos estratégicos da Web, juntamente com táticas de entrega de carga útil na memória e vários métodos aninhados de ofuscação, esta campanha provou ser excepcionalmente realizada e ilusória", disse FireEye.
No entanto, como o malware sem disco está completamente residente na memória, basta reiniciar a máquina para remover a infecção. Os invasores não parecem preocupados em ser persistentes, sugerindo que os atacantes estão "confiantes de que seus alvos pretendidos simplesmente revisitarão o site comprometido e serão novamente infectados", escreveram os pesquisadores da FireEye.
Isso também significa que os atacantes estão se movendo muito rapidamente, pois precisam se mover pela rede para alcançar outros alvos ou encontrar as informações que procuram antes que o usuário reinicie a máquina e remova a infecção. "Quando o invasor obtém e aumenta os privilégios, ele pode implantar muitos outros métodos para estabelecer persistência", disse Ken Westin, pesquisador de segurança da Tripwire.
Pesquisadores da empresa de segurança Triumfant alegaram um aumento no malware sem disco e se referem a esses ataques como Ameaças Voláteis Avançadas (AVT).
Não relacionado à falha do Office
A mais recente vulnerabilidade de dia zero do Internet Explorer vem logo após uma falha crítica no Microsoft Office, também divulgada na semana passada. A falha em como o Microsoft Windows e o Office acessam imagens TIFF não está relacionada a esse bug do Internet Explorer. Enquanto os invasores já estão explorando o bug do Office, a maioria dos alvos está atualmente no Oriente Médio e na Ásia. Os usuários são incentivados a instalar o FixIt, que limita a capacidade do computador de abrir gráficos enquanto aguarda um patch permanente.
O FireEye notificou a Microsoft sobre a vulnerabilidade, mas a Microsoft ainda não comentou publicamente a falha. É tremendamente improvável que esse bug seja resolvido a tempo do lançamento de Patch Tuesday de amanhã.
A versão mais recente do Microsoft EMET, o Enhanced Mitigation Experience Toolkit, bloqueia com êxito os ataques direcionados às vulnerabilidades do IE, bem como à do Office. As organizações devem considerar a instalação do EMET. Os usuários também podem considerar atualizar para a versão 11 do Internet Explorer ou usar navegadores que não sejam o Internet Explorer até que o bug seja corrigido.
Edições XP
Esta última campanha de watering hole também destaca como os atacantes estão mirando usuários do Windows XP. A Microsoft lembrou repetidamente aos usuários que deixará de fornecer atualizações de segurança para o Windows XP após abril de 2014, e os usuários devem atualizar para versões mais recentes do sistema operacional. Pesquisadores de segurança acreditam que muitos invasores estão sentados em cache de vulnerabilidades do XP e acreditam que haverá uma onda de ataques direcionados ao Windows XP depois que a Microsoft encerrar o suporte ao antigo sistema operacional.
"Não demore - faça a atualização do Windows XP para outra coisa o mais rápido possível, se você valoriza sua segurança", escreveu Graham Cluley, pesquisador de segurança independente, em seu blog.
