Útok na novou zranitelnost v IE probíhá z RAM

Nový balík aktualizací, který Microsoft i tento týden, stejně jako každé druhé úterý v měsíci v rámci tzv. Patch Tuesday zpřístupnil uživatelům svých produktů, přináší hned několik zajímavostí. Osm záplat opravuje kritické chyby ve Windows a všech verzích webového prohlížeče Internet Explorer od IE6 až po IE11. Chyby v kancelářském balíku Office, Windows a platformě Lync, jež Microsoft zveřejnil minulý týden, opraveny bohužel nebudou – zatím však stále není jasné, zda budou opraveny nejnovější chyby v Internet Expoloreru, o nichž minulý týden přinesla informace společnost FireEye. Podle této bezpečnostní firmy jsou útoky s využitím nově objevených slabin IE prováděny z amerických webových stránek pomocí pokročilé techniky, jež vkládá škodlivý kód přímo do paměti a ohrožuje tak uživatele IE7, 8, 9 a 10 v operačních systémech Windows XP a Windows 7.

Podle FireEye byly útoky prováděny z webových stránek hostovaných ve Spojených státech a zaměřovaly se na lidi pracující v tamním zbrojním průmyslu. „Útočníci vložili zneužití nové chyby do velmi důležité webové stránky, o níž se ví, že ji navštěvují lidé zajímající se o národní a mezinárodní bezpečnostní politiku,“ napsali v neděli Ned Moran, Sai Omkar Vashisht, Mike Scott a Thoufique Haw z FireEye. Stránku však ve svém příspěvku nejmenovali. Podle nich jsou zločinci, kteří stojí za tímto novým útokem, zodpovědní také za průnik do systémů bezpečnostní společnosti Bit9, jež se odehrál dříve v tomto roce, a s největší pravděpodobností také podnikli za pomocí nové chyby v IE nedávné útoky na japonské cíle.

Kyberzločinci podle všeho využívají nejmodernější metody a techniky obdobné těm, jež podle společnosti Mandiant používala čínská hackerská skupina známá jako AP-1, která se zaměřuje zejména na americké cíle. Útoky zločinců běžně probíhají tak, že jsou jejich škodlivé kódy nainstalovány do počítače a spouští se stále znovu (dokud je někdo neodstraní) i po restartu zařízení. Ne tak nový červ zneužívající IE, jehož FireEye pojmenovalo jako Trojan.APT.9002. „Útočníci nahráli kód přímo do paměti bez zápisu na disk, což je technika, která se příliš nepoužívá. Bezpečnostní společnosti díky tomu budou mít problém za pomoci běžných forenzních metod vystopovat, odkud útočníci červy opravdu řídí.“

Útočníci se tak v tomto případě očividně rozhodli vyměnit možnost ovládání počítačů obětí po delší dobu za větší jistotu toho, že jejich identita zůstane skryta. Postup dále svědčí o tom, že jsou si jisti tím, že budou moci rychle získat kontrolu nad systémy obětí. Microsoft zatím na zjištění FireEye nereagoval a není tak jisté, kdy vydá pro svůj webový prohlížeč opravu.