Útočníci zneužívají chybu zero day v Internet Exploreru

4. 11. 2010

Sdílet

Microsoft vydal včera oficiální varování, že útočníci se soustředí na kritickou a dosud neopravenou zranitelnost ve všech používaných verzích prohlížeče Internet Explorer. Určité riziko se týká i uživatelů MSIE 8.

Útok se podle Microsoftu původně soustředil na Internet Explorer 6. Tato verze je stará už asi 9 let a Microsoft se již dlouho snaží jeho uživatele přimět k upgradu. Zero day zranitelnost v Internet Exploreru 6 byla zřejmě hlavní příčinou i průniku do sítě Googlu v operaci Aurora před zhruba rokem.

Lidé z týmu Microsoft Security Response Center zpočátku zaznamenávali opravdu pouze útoky proti MSIE 6, které proti verzi 8 nefungovaly. Pokusy o zneužití probíhaly přes zranitelnost v haldě a mohly vést k úplnému ovládnutí počítače útočníkem. Šlo o metodu typu drive-by downolad, kdy k infekci stačí pouze navštívit podvodný web a k instalaci malwaru dojde automaticky bez další akce uživatele či nutnosti nějakého potvrzování.

Posléze se ale ukázalo, že chyba se vyskytuje i ve verzích MSIE 7 a 8. Zdá se, že Internet Explorer 8 by měl útoku odolat kvůli ochraně před spuštěním dat DEP (Data Execution Prevention; poznámka: to je ale funkce operačního systému, tj. neměla by přímo záviset na verzi prohlížeče. U Internet Exploreru 7 je nicméně potíž v tom, že ve výchozím nastavení je tato ochrana údajně vypnuta). Riziko spočívá v tom, že existuje i řada způsobů, jak ochranu DEP obejít, i když s tímto typem útoku se postupy údajně dají těžko kombinovat a MSIE 8 by měl být relativně bezpečný – snad a prozatím. Beta verze Internet Exploreru 9 se problém netýká.

Útoky již zaznamenal také Symantec. Odkazy na podvodné weby se podle Symantecu šířily e-mailem, který se tvářil jako potvrzení rezervace hotelu. Podvod cílil na uživatele ve firmách.

 

Microsoft prozatím neoznámil, kdy chybu opraví. Uživatelé MSIE 6 by měli upgradovat, IE 7 zapnout ochranu DEP, eventuálně mohou všichni použít utilitu EMET (Enhanced Mitigation Experience Toolkit), která je volně ke stažení na webu Microsoftu.

 

ICTS24

Příští pravidelný termín pro uvolňování záplat má Microsoft v úterý 9. 11., je však nepravděpodobné, že by se do té doby stihl vývoj a otestování opravy.