ataques 0-day
De Internet Explorer de los trabajadores de armamento nuclear estadounidense alcanzaron otros 9 sitios
fuente: http://arstechnica.com/security/2013/05/internet-explorer-0-day-attacks-on-us-nuke-workers-hit-9-other-sites/
Los ataques que explotan una vulnerabilidad previamente desconocida y actualmente sin parche( 0-DAY) en el navegador Internet Explorer de Microsoft se han extendido a por lo menos otros nueve sitios web, incluidos los administrados por una gran empresa europea que opera en el sector aeroespacial, de defensa y las industrias de seguridad, así como grupos e institutos sin fines de lucro , dijeron los investigadores de seguridad.
La revelación, de una entrada de blog publicada el domingo por la firma de seguridad AlienVault, significa una campaña de ataque que el malware subrepticiamente instalado en los ordenadores de los trabajadores del gobierno federal que participan en la investigación de armas nucleares era más amplio y ambicioso que se pensaba. Informes anteriores identificaron sólo una página web que pertenece al Departamento de Trabajo de los EE.UU. como redirigir a servidores que explotan la vulnerabilidad de código remoto de día cero en Internet Explorer versión 8.
Una información del blog de la empresa de seguridad CrowdStrike dijo que sus investigadores desenterraron evidencia que sugiere que la campaña comenzó a mediados de marzo. Su análisis de los registros de la infraestructura malicioso utilizado en los ataques reveló las direcciones IP de los visitantes a los sitios comprometidos. Los registros mostraron direcciones de 37 países diferentes, con un 71 por ciento de ellos en los EE.UU., el 11 por ciento en el Sur / Sudeste de Asia, y el 10 por ciento en Europa. Los datos de CrowdStrike mostraron direcciones IP antes de código de explotación se ejecuta en máquinas de los visitantes. No todos los visitantes fueron comprometidos ya que el código de explotación trabajó sólo contra las personas que utilizan IE8.
Los Investigadores de CrowdStrike parecían estar de acuerdo con sus homólogos de Invincea, que-comoArs informó el viernes -dijo que los ataques, al menos en parte dirigidos por personas que trabajan en los programas de gobierno sensibles. Enlaces maliciosos incrustados en la web del Departamento de Trabajo se centró en las páginas web que se ocupan de las enfermedades sufridas por los empleados y contratistas de desarrollo de armas atómicas por el Departamento de Energía. Pero continuó diciendo la campaña podría ser mucho más amplio.
"El Departamento de Trabajo específico de la página web que se ve comprometida proporciona información sobre un programa de compensación para los trabajadores de la energía que fueron expuestos al uranio", dijo CrowdStrike. "Los objetivos probables de interés para este sitio incluyen entidades relacionadas con la energía del gobierno de Estados Unidos, empresas de energía, y, posiblemente, las empresas del sector extractivo. Basado en los demás sitios comprometidos otras entidades específicas pueden ser objeto de los interesados en el trabajo, las cuestiones políticas internacionales de salud y , así como las entidades del sector de la defensa ".
Tal "agrupación" de ataques de qué planta hazañas de malware en sitios web que son frecuentados por grupos o personas específicas-se han convertido en una técnica común en los ataques dirigidos.Una vez comprometida por zero-day del IE, los ordenadores están infectados con una versión de Poison Ivy, una herramienta de puerta trasera que ha sido ampliamente utilizado en las campañas de espionaje pasadas. Los servidores de comando y control utilizados para comunicarse con los equipos infectados muestran signos de haber sido creados por un equipo de la piratería china conocida como DeepPanda.
Microsoft confirma la vulnerabilidad de ejecución de código remoto en la noche del viernes. Las versiones 6, 7, 9 y 10 del navegador son inmunes a estos ataques, por lo que cualquier persona que pueda actualizar a una de las últimas dos versiones deben hacerlo inmediatamente o cambiar a otro navegador. Para cualquier persona que absolutamente no puede alejarse de IE 8, investigadores de la compañía recomiendan las siguientes precauciones:
Los usuarios también pueden instalar EMET -abreviatura de Enhanced Experience Toolkit mitigación, lo cual añade una variedad de explotar las mitigaciones y defensas de seguridad y es especialmente útil para los usuarios de versiones anteriores de Windows, como XP.
Detalles técnicos sobre el "uso libre después de" BUG se dispone aquí de Rapid7. La firma de seguridad ya ha doblado código de ataque aprovechando la vulnerabilidad en el marco de Metasploit utilizado por profesionales de la seguridad y hackers. Investigadores de FireEye también han profundizado en el exploit que circula en línea. Encontraron que utiliza "programación orientada retorno", una técnica utilizada para derrotar a la prevención de ejecución de datos y otras mitigaciones exploit. Los investigadores FireEye dijeron que también verificaron el exploit funciona contra IE8 en Windows 7.
Los expertos de Microsoft dijo el viernes que los investigadores todavía estaban investigando la vulnerabilidad. Cuando la investigación llega a la conclusión, que decidirán si para liberar una actualización no programada o proporcionar una solución en el marco del ciclo de parches regulares de la compañía.
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias