Các nhà nghiên cứu bảo mật tại FireEye đã phát hiện một loạt các cuộc tấn công drive-by mới dựa trên lỗ hổng zero-day mới của Internet Explorer. Những kẻ tấn công đã xâm phạm một trang web có trụ sở tại Hoa Kỳ để triển khai mã khai thác nhằm tiến hành một cuộc tấn công lỗ tưới nước cổ điển.
Phát hiện được công bố chỉ vài ngày sau khi Microsoft tiết lộ Microsoft Zero-day CVE-2013-3906một lỗ hổng Zero-day trong thành phần đồ họa của Microsoft được khai thác tích cực trong các cuộc tấn công có chủ đích bằng cách sử dụng các tài liệu Word được tạo thủ công gửi qua email.
Lỗ hổng zero-day của thành phần đồ họa Microsoft cho phép kẻ tấn công cài đặt phần mềm độc hại thông qua các tài liệu Word bị nhiễm và nhắm mục tiêu người dùng Microsoft Office chạy trên Windows Vista và Windows Server 2008.
Lỗ hổng zero-day mới được báo cáo gần đây trên Internet Explorer do FireEye phát hiện ảnh hưởng đến các phiên bản tiếng Anh của IE 7 và 8 trong Windows XP và IE 8 trên Windows 7, nhưng theo các chuyên gia, lỗ hổng này có thể dễ dàng thay đổi để tận dụng các ngôn ngữ khác.
Các chuyên gia tại FireEye đã xác nhận rằng lỗ hổng khai thác được phát hiện gần đây tận dụng lỗ hổng rò rỉ thông tin mới và lỗ hổng truy cập bộ nhớ ngoài giới hạn của IE để thực thi mã, kẻ tấn công sử dụng dấu thời gian từ tiêu đề PE củamsvcrt.dll để chọn cách khai thác thích hợp.
“Vụ rò rỉ thông tin sử dụng một lỗ hổng rất thú vị để truy xuất dấu thời gian từ các tiêu đề PE của msvcrt.dll. Dấu thời gian được gửi trở lại máy chủ của kẻ tấn công để chọn cách khai thác với chuỗi ROP dành riêng cho phiên bản msvcrt.dll đó.” nhà nghiên cứu Xiaobo Chen và Dan Caselden giải thích trong bài đăng trên FireEye.
Phân tích do nhóm nghiên cứu tại FireEye thực hiện cho thấy lỗi zero-day trên IE này ảnh hưởng đến IE 7, 8, 9 và 10 và như đã xảy ra với Microsoft Zero-day CVE-2013-3906 , nó có thể được giảm nhẹ bằng EMET theo phản hồi của Microsoft.
Shellcode rất thú vị, phần mềm khai thác triển khai một payload shellcode nhiều giai đoạn mà khi khai thác thành công, nó sẽ khởi chạy rundll32.exe (với CreateProcess), đồng thời đưa và thực thi giai đoạn thứ hai của nó (với OpenProcess, VirtualAlloc, WriteProcessMemory và CreateRemoteThread). Giai đoạn thứ hai tải xuống một tệp thực thi và chạy nó từ đĩa.
Các chuyên gia của FireEye đã công bố sự hợp tác với nhóm Bảo mật của Microsoft về các hoạt động nghiên cứu và cuộc điều tra đang diễn ra, bài đăng được xuất bản nhằm mục đích cảnh báo cộng đồng CNTT về các hoạt động độc hại.
FireEye, như được xác nhận bởi tiêu đề bài đăng, tin rằng khai thác zero-day trên IE có thể được sử dụng cho Watering Hole Attack với mục đích cụ thể là nhắm vào các nhóm cá nhân mà những kẻ tấn công quan tâm cụ thể.
“Vì tải trọng không liên tục, những kẻ tấn công phải làm việc nhanh chóng để giành quyền kiểm soát nạn nhân và di chuyển ngang trong các tổ chức bị ảnh hưởng,” công ty cho biết. Các tin tặc cũng đang sử dụng các phương pháp mới để làm thất bại các kỹ thuật điều tra pháp y.
Tôi xin nói thêm rằng một cuộc tấn công tương tự có thể được phân loại thành một trong các loại sau:
- Các cuộc tấn công do nhà nước bảo trợ hạn chế đối tượng tiếp cận để duy trì phạm vi bảo hiểm. Các cuộc tấn công do nhà nước tài trợ có thể được liên kết với các đơn vị chính phủ hoặc nhóm lính đánh thuê mạng, như trường hợp của sương băng nhóm được phát hiện bởi nhóm Kaspersky Lab.
- Các cuộc tấn công dựa trên phần mềm độc hại được thực hiện bởi tội phạm mạng nhằm mục đích thử nghiệm. Mã độc được lưu trữ trên trang web bị vi phạm được truy cập bởi một bộ phận hạn chế người dùng Internet, bằng cách này, họ lấy thông tin quan trọng để cải thiện tác nhân độc hại tránh bị các công ty bảo mật phát hiện.
Tôi không thể chính xác hơn nếu không có thông tin về bản chất của trang web được nhắm mục tiêu và mức độ phức tạp của mã nguồn được sử dụng bởi những kẻ tấn công.
