인터넷 익스플로러 8 제로 데이 익스플로잇

4 월 말 보안 연구원은 공격자가 피해자의 컴퓨터에서 악성 코드를 실행할 수있는 Internet Explorer 8의 악용을 발견했습니다. 가장 문제가되는 것은 미국 노동부 (DoL) 웹 사이트에서 악용 된 것으로, 핵이나 기타 독성 물질에 접근 할 수있는 근로자를 대상으로 할 수 있습니다. 이번 주말에 Microsoft는 익스플로잇이 IE 8에서 새로운 제로 데이임을 확인했습니다.

악용

Microsoft는 금요일에 Internet Explorer 8 CVE-2013-1347의 익스플로잇을 확인하면서 버전 6, 7, 9 및 10이 영향을받지 않음을 알리는 보안 권고를 발표했습니다.

"이것은 원격 코드 실행 취약점입니다."라고 Microsoft는 말했습니다. "Internet Explorer가 메모리에서 삭제되었거나 올바르게 할당되지 않은 개체에 액세스하는 방식에 취약점이 존재합니다.이 취약점으로 인해 침입자가 현재 사용자의 컨텍스트에서 임의의 코드를 실행할 수있는 방식으로 메모리가 손상 될 수 있습니다. Internet Explorer 내에서."

"공격자는 Internet Explorer를 통해이 취약점을 악용하도록 설계된 특수하게 조작 된 웹 사이트를 호스팅 한 다음 사용자가 웹 사이트를 보도록 유도 할 수 있습니다"라고 Microsoft는 말합니다. 불행히도 이것은 이미 발생한 것으로 보입니다.

야생에서

이 공격은 4 월 말 보안 회사 Invincea에 의해 처음 발견되었습니다. 그들은 DoL 웹 사이트가 방문자의 장치에 Poison Ivy Trojan의 변종이 설치된 다른 웹 사이트로 방문자를 리디렉션하는 것으로 나타났습니다.

AlienVault Labs는 맬웨어가 여러 가지 활동을 수행하는 동안 피해자의 컴퓨터를 검사하여 바이러스 백신이 있는지 확인했습니다. AlienVault에 따르면이 악성 코드는 Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure 및 Kasperky 소프트웨어를 검사했습니다.

Craig Williams는 Cisco 블로그에서 "이 정보는 향후 공격의 성공을 촉진하고 보장하는 데 사용될 것입니다"라고 말합니다.

DoL 공격의 동기가 무엇인지 말하기는 어렵지만 익스플로잇은 일부 목표를 염두에두고 배치 된 것으로 보입니다. 윌리엄스는이 웹 사이트를 "워 링홀 (watering hole)"공격이라고 불렀는데, 이 웹 사이트는 올해 초에 보았던 개발자에 대한 공격과 유사한 인기있는 웹 사이트가 방문자를 감염 시키도록 수정되었습니다.

DoL이이 공격의 첫 단계 였지만 실제 목표는 에너지 부 (특히 핵 물질에 접근 할 수있는 직원)에있는 것으로 보입니다. AlienVault는 독성 물질 노출에 대한 직원 보상에 관한 정보를 호스팅하는 Site Exposure Matrices 웹 사이트가 포함되어 있다고 말합니다.

Williams는 "Department of Labor 웹 사이트에서 핵 관련 콘텐츠를 호스팅하는 특정 페이지의 방문자들도 도메인 dol.ns01.us에서로드 된 악성 콘텐츠를 수신했습니다."라고 썼습니다. 해당 DoL 사이트는 이후 수리되었습니다.

조심해

Microsoft의 권고에 따르면, 악용이 효과적이기 위해서는 피해자가 웹 사이트를 방문해야한다고 지적합니다. "그러나 모든 경우에 침입자는 사용자가 이러한 웹 사이트를 방문하도록 강요 할 수 없습니다."라고 Microsoft는 말합니다.

이것이 표적 공격 일 가능성이 있기 때문에 대부분의 사용자는 익스플로잇 자체를 경험하지 못할 것입니다. 그러나 한 그룹의 공격자가 사용하는 경우 다른 사용자도 새로운 익스플로잇에 액세스 할 가능성이 있습니다. 항상 그렇듯이 이상한 링크와 너무 좋은 제안을 조심하십시오. 과거에는 공격자들이 Facebook 계정을 가로 채서 악의적 인 링크를 유포하거나 가족이 전자 메일을받는 것처럼 보이는 사회 공학 전술을 사용했습니다. 모든 링크에 스 니프 테스트를 제공하는 것이 좋습니다.

Microsoft는 언제, 어떻게 악용 될 것인지 발표하지 않았습니다.