mercoledì 2 gennaio 2013

Microsoft rilascia un Fix it per patchare vulnerabilità in Internet Explorer


Microsoft ha spinto fuori una soluzione temporanea per difendersi da un vulnerabilità zero-day che è emersa negli attacchi lanciati la scorsa settimana. Microsoft sta studiando le relazioni pubbliche di una vulnerabilità in Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8. Internet Explorer 9 e Internet Explorer 10 non sono interessati dalla vulnerabilità. Microsoft è a conoscenza di attacchi mirati che tentano di sfruttare la vulnerabilità tramite Internet Explorer 8.

Microsoft ha rilasciato un advisory di sicurezza (2794220) sulla vulnerabilità che viene indicata come CVE-2012-4792. Redmond ha rilasciato anche un temporaneo "Fix It" (di facile applicazione-soluzione), in attesa dello sviluppo di una patch più completa. Applicando la soluzione Microsoft Fix it, "MSHTML Shim Workaround", si impedisce lo sfruttamento di questo problema. La falla di sicurezza è stata inizialmente scoperta dalla società di sicurezza FireEye.

Il 27 dicembre, la società ha ricevuto segnalazioni che degli hacker hanno preso il controllo di PC Windows dei proprietari che hanno visitato il sito del Council on Foreign Relations (CFR), un rinomato "think tank" che si occupa di politica estera. L'attaccante ha compromesso il sito e inserito codice  Javascript per reindirizzare le vittime ad ulteriori codici maligni. Il malware nascosto sul sito ha utilizzato Adobe Flash Player per generare un attacco "heap spray" contro IE8.

La falla è descritta da Microsoft come una vulnerabilità legata all'esecuzione di codice che esiste nel modo in cui Internet Explorer accede a un oggetto in memoria che è stato eliminato o non è stato correttamente assegnato. La vulnerabilità potrebbe danneggiare la memoria in un modo che potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente all'interno di Internet Explorer.

Secondo gli specialisti di sicurezza informatica, l'attacco di spionaggio informatico rappresenta un nuovo livello di sofisticazione da parte di hacker stranieri alla ricerca di segreti governativi dai PC.  Il metodo ha utilizzato un attacco hacker "drive-by" che impone di piantare segretamente software dannoso nel sistema informatico di CFR. Poi, hanno usato il software e il sito Web per attaccare i visitatori del sito di infettare i loro computer alla caccia di segreti e altre informazioni utili.


Uno degli specialisti ha detto che l'attacco ha coinvolto anche l'utilizzo del sito CFR per quello che viene chiamato un attacco "watering hole". L'attaccante compromette il sito e inserisce codice JavaScript o HTML per reindirizzare le vittime di ulteriori codici maligni. Il sito compromesso viene poi lasciato "in attesa" per sfruttare gli utenti che visitano tramite drive-by download.  In risposta, un piccolo gruppo di specialisti di sicurezza privata ha avviato un'inchiesta sull'attività e ha scoperto che l'attacco prende di mira solo gli utenti  che utilizzano IE8.

Gli aggressori sono stati in grado di sfruttare una falla "zero-day" nel browser, che consente agli hacker di accedere a un PC di destinazione. Symantec ha pubblicato una ricerca sugli attacchi watering hole (The Elderwood Project) che si vedevano dal 2009. Questo codice exploit ha preso di mira gli utenti che eseguono Windows 7 e Windows XP. L'oggetto Flash contiene il codice ActionScript che è stato utilizzato per costruire shellcode in base alla versione del sistema operativo e Language Pack installati.

I Language Pack (LIP) di Windows offrono una versione tradotta della maggior parte dell'interfaccia utente. Le shellcodes costruiscono ActionScript specifiche a seconda della versione di Windows che ha rilevato. Per Windows 7 ha usato Return-Oriented Programming (ROP-chains) per costruire shellcode. Mentre il browser viene sfruttato attraverso l'iFrame news.html, una richiesta GET è stata fatta dalla pagina originale compromessa per scaricare un file xsainfo.jpg che è stato memorizzato nei file temporanei di Internet Explorer.

Si tratta di una libreria codificata di collegamento dinamico (DLL) che è il payload dell'attacco. Quando l'oggetto Flash è stato caricato, ha eseguito un heap spray e iniettato lo shellcode utilizzato per individuare il file xsainfo.jpg, decodificarlo, e memorizzarlo nella cartella file % temp% / flowertep.jpg. Una simile vulnerabilità di Internet Explorer è stata dietro il grande attacco informatico Aurora su Google e altre aziende americane che ha avuto inizio nel 2009 ed è stato attribuito al governo cinese.

Gli investigatori hanno detto che gli aggressori informatici che hanno colpito CFR sono stati in grado di creare una rete segreta in grado di individuare, crittografare ed inviare le informazioni rubate da computer di destinazione infetto a un computer di comando e controllo. Nel caso della truffa CFR, il software dannoso ha coinvolto software che include lingua cinese mandarino, hanno detto gli specialisti. Inoltre, gli aggressori hanno limitato il loro targeting ai membri del CFR e visitatori del sito che hanno utilizzato browser configurato per i caratteri in lingua cinese.

Nessun commento:

Posta un commento