Nowy atak eliminuje błędy IE

Microsoft ostrzegł w zeszłym tygodniu, że cyberprzestępcom łatwo będzie budować nowe ataki przy użyciu błędów, które zostały załatane w przeglądarce Internet Explorer; teraz, gdy prognozy się spełniły.

We wtorek, sprzedawca bezpieczeństwa Trend Micro powiedział, że wykrył pierwszy atak wykorzystujący jedną z dwóch wad załatanych tydzień temu. Microsoft powiedział, że jedna z tych luk będzie łatwa do wykorzystania w atakach internetowych.

W ciągu weekendu naukowcy z Trend Micro zauważyli coś, co wydaje się niewielkim, ukierunkowanym atakiem, który wykorzystuje lukę do zainstalowania oprogramowania szpiegowskiego, powiedział Paul Ferguson, badacz z dostawcą oprogramowania antywirusowego. "Instaluje tylne drzwi, które przesyłają skradzione informacje na porcie 443 do innej witryny w Chinach", powiedział.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Microsoft nie był w stanie natychmiast skomentować Trendu Raport Mikro we wtorek.

Chociaż Ferguson nie wie, kto napisał kod ataku, powiedział, że wygląda podobnie do oprogramowania, które zostało wysłane do pro-tybetańskich grup około roku temu, najwyraźniej w celu gromadzenia informacji wywiadowczych.

Zarówno ubiegłoroczny atak, jak i najnowsze złośliwe oprogramowanie są uruchamiane, gdy użytkownik otworzy złośliwy dokument Word. Ten dokument zawiera obiekt ActiveX, który łączy IE ze złośliwą witryną sieci Web, która uruchamia atak, a następnie instaluje oprogramowanie szpiegowskie.

Przestępcy nie muszą używać programu Word do wykorzystania tej luki - atak zadziałałby, gdyby ofiara została po prostu oszukana, odwiedzając złośliwą witrynę sieci Web - ale ta technika jest zgodna z wcześniejszymi atakami ukierunkowanymi na Tybet, powiedział Ferguson.

To, czy doprowadzi to do bardziej rozpowszechnionych ataków na Internet Explorera, jest niejasne, powiedział Ferguson.

Verisign's Grupa iDefense uważa, że ​​prawdopodobne jest więcej ataków. "Chociaż atak ten ma ograniczony zasięg i prawdopodobnie zostanie skierowany tylko do bardzo niewielu organizacji, wkrótce dostrzeżemy dostępność niezawodnego kodu wykorzystującego exploity, a ataki te najprawdopodobniej zostaną rozpowszechnione w ciągu tygodnia", stwierdziła firma w ostrzeżeniu. wysyłane do klientów wtorek.

"W tej chwili nie widzimy żadnego dowodu na trwającą kampanię tutaj," powiedział Ferguson. "Ale … bardzo łatwo jest całkowicie zlikwidować to zagrożenie, nie musisz się martwić o ochronę antywirusową: po prostu załataj swoje maszyny."