Vídeo: Microsoft Internet Explorer Zero-Day Vulnerability| Advisory|Mitigation|Workaround (Novembro 2024)
Pesquisadores da Exodus Intelligence relataram ser capazes de contornar a solução alternativa Fix-It que a Microsoft lançou na segunda-feira para a mais recente vulnerabilidade de dia zero no Internet Explorer.
Enquanto o Fix-It bloqueou o caminho exato do ataque usado no ataque ao site do Conselho de Relações Exteriores, os pesquisadores conseguiram "ignorar a correção e comprometer um sistema totalmente corrigido com uma variação da exploração", de acordo com o post de sexta-feira no o blog Exodus.
A Microsoft foi informada sobre a nova exploração, de acordo com o post. Os pesquisadores do Exodus disseram que não revelariam detalhes de sua exploração até que a Microsoft corresse o buraco.
O Fix-It foi planejado para ser uma correção temporária enquanto a empresa trabalhava no patch completo para fechar a atualização de segurança. A Microsoft não disse quando a atualização completa para o Internet Explorer estaria disponível e não se espera que seja incluída no lançamento programado para a próxima terça-feira do Patch Tuesday.
Os usuários devem baixar e instalar o kit de ferramentas Enhanced Mitigation Experience 3.5 da Microsoft "como outra ferramenta para ajudar a defender seus sistemas Windows contra vários ataques", escreveu Guy Bruneau, do SANS Institute, no blog Internet Storm Center. Uma publicação anterior do ISC havia demonstrado como o EMET 3.5 poderia bloquear ataques direcionados à vulnerabilidade do IE.
Mais sites comprometidos encontrados
Os pesquisadores da FireEye identificaram pela primeira vez a falha do dia zero quando descobriram que o site do Conselho de Relações Exteriores havia sido comprometido e estavam entregando arquivos Flash maliciosos a visitantes inocentes. Acontece que vários outros sites de direitos políticos, sociais e humanos nos EUA, Rússia, China e Hong Kong também foram infectados e estavam distribuindo malware.
O ataque CFR pode ter começado já em 7 de dezembro, disse o FireEye. Os atacantes usaram today.swf, um arquivo malicioso do Adobe Flash, para lançar um ataque de heap spray contra o IE que permitia ao invasor executar remotamente o código no computador infectado.
Pesquisadores da Avast disseram que dois sites chineses de direitos humanos, um jornal de Hong Kong e um site científico russo foram modificados para distribuir um Flash que explora a vulnerabilidade no Internet Explorer 8. O pesquisador de segurança Eric Romang encontrou o mesmo ataque ao site do fabricante de microturbinas de energia Capstone Turbine Corporation, bem como no site pertencente ao grupo dissidente chinês Uygur Haber Ajanski. A turbina Capstone pode ter sido infectada já em 17 de dezembro.
Em setembro, a Capstone Turbine havia sido modificada para distribuir malware explorando uma vulnerabilidade diferente de dia zero, disse Romang.
"Potencialmente, os responsáveis por CVE-2012-4969 e CVE-2012-4792 são os mesmos", escreveu Romang.
Os pesquisadores da Symantec vincularam os ataques mais recentes ao grupo Elderwood, que usou outras falhas de dia zero para lançar ataques semelhantes no passado. O grupo reutilizou componentes da plataforma "Elderwood" e distribuiu arquivos Flash semelhantes às suas vítimas, disse a Symantec. O arquivo malicioso do Flash que infectou os visitantes da Capston Turbine tinha várias semelhanças com o arquivo Flash usado anteriormente pela gangue Elderwood em outros ataques, disse a Symantec.
"Tornou-se claro que o grupo por trás do Projeto Elderwood continua produzindo novas vulnerabilidades de dia zero para uso em ataques a poços d'água e esperamos que continuem a fazê-lo no Ano Novo", de acordo com a Symantec.