0-day уязвимостта за IE била ползвана за атаката към Bit9

0
29


По думите на мнозина специалисти, като например Евгени Касперски, основател на известната компания за интернет сигурност, кибервойните са вече реалност. Кибершпионажа и атаките към правителствени и военни информационни структури от страна на свързани с други държави организации са реалност поне от няколко години и доказателство за това са атаките към ядрените мощности в Натанц, Иран и зловещият Stuxnet, който е можело да причини трагедия с немислими последствия не само за Иран и иранците, но и за целия регион. Имаме също така постоянните атаки, които Китай извършва към системите на Тибет, а също така атаките към Google от преди три години, вълната от атаки към американски медии и правителствени структури отпреди година и може би неща, които не са се появили в публичното пространство. Специалисти по информационна защита съобщават за опасността от мощни атаки в бъдеще с непредвидими последици към жизненоважни инфраструктури, като енергосистеми, водоснабдителни инфраструктури, язовири и пр. Дано си останат само страхове и предположения.

Миналата седмица ви съобщихме за откриването на 0-day уязвимост, насочена към Internet Explorer, за която от Microsoft издадоха фикс (очаква се, че обновление запушващо уязвимостта ще се появи с октомврийските ъпдейти за Windows). Тези дни обаче излезе новина, която е леко стряскаща, а именно, че въпросната уязвимост е използвана преди година за успешна атака (имайки предвид, че е на една година, може да гадаем дали атаката е само една) към компания за информационна защита.

За това ни съобщават специалистите от компанията за информационна сигурност FireEye, които са следили атаки към различни организации в Япония, които са осъществявани с помощта на въпросната уязвимост и съответен експлойт за нея. Операцията – именувана Operation DeputyDog – е започнала около 19.08. и зад нея стоят същите хора, които са отговорни за атаките към компанията за интернет защита Bit9. Същите, които Symantec нарекоха Hidden Lynx.

И ако мнозина от вас не са чували за Bit9, то така и трябва може би, тъй като компанията работи с правителствени и военни структури във Вашингтон и някои от най-големите компании от Forbes 100. Bit9 осигурява специфичен whitelisting софтуер на своите клиенти. Структурите, които са клиентите на компанията ползват софтуер от „бели списъци“ на Bit9, подписани с надеждния цифров сертификат на компанията, което означава, че попаднал неподписан софтуер в системите на клиент на компанията бива премахван и считан за зловреден. Без да се спираме на ползите и недостатъците на whitelisting политиката ще споменем, че е осъществена атака към Bit9 и е била открадната системата, с която компанията е подписвала въпросните сертификати. Може да си представите, до какво вероятно е довело това?
Що се отнася до самата уязвимост, то тя действа така че браузърът достига до обект в паметта, който е бил изтрит или е неправилно разположен. Уязвимостта може да доведе до нарушения в паметта и да позволи на атакуваща страна да изпълни случаен код в самия браузър.

Според специалистите от FireEye, обектът, с който е осъществена атаката е бил разположен на сървър в Хонг Конг с име img20130823.jpg. Въпреки разширението си, това обаче не е било изображение. След като експлойта е бил изпълнен, браузърът се свързвал с втори сървър в Южна Корея, откъдето е бил свален допълнително малуер.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за