Hakerski napadi na novi propust u Internet Explorer-u

Vesti, 03.11.2010, 23:44 PM

Otkriven je novi propust u svim verzijama Internet Explorer-a koji se ovog trenutka aktivno koristi u hakerskim napadima. Microsoft je potvrdio bag, a iz kompanije kažu da rade na njegovoj ispravci ali se nisu jasno odredili prema terminu kada bi zakrpa mogla biti objavljena. Međutim, iz Microsoft-a nisu odbacili ni mogućnost objavljivanja vanrednog 'patch'-a.

Novi propust u Internet Explorer-u pogađa verzije 6, 7 i 8, ali ne i najnoviju, beta verziju browser-a IE 9, kažu u Microsoft-u. Napadi su prvenstveno usmereni na Internet Explorer 6, devet godina star browser kojeg Microsoft pokušava da se otarasi više od godinu dana.

Do sada viđeni napadi bili su usmereni isključivo na IE 6, ali nije bilo uspešnih napada usmerenih protiv Intrenet Explorer-a 8. Iz kompanije tvrde da su do sada zabeleženi napadi vrlo ograničeni.

Hakeri mogu steći kontrolu nad kompjuterom onda kada korisnik poseti maliciozni sajt, izvođenjem klasičnog drive-by download napada (vidi u Rečniku: drive-by download) što dovodi do trenutnog preuzimanja kontrole nad računarom sa ranjivom verzijom Internet Explorer-a.

Kompanija je objavila i uputstvo koje se odnosi na ovu ranjivost u kome se kaže da neki zaštitni mehanizmi dodati u novije verzije Iinternet Explorer-a i Windows-a mogu biti od pomoći u odbrani od napada na ovaj propust. Internet Explorer 8 na Windows XP SP3 i kasnijim verzijama Windows-a imaju DEP (Data Execution Prevention) uključen u osnovnom podešavanju, što pomaže zaustavljanju napada usmerenih protiv ovog propusta. DEP je jedan od ključnih zaštitinih mehanizama kojima su naoružane novije verzije browser-a i Windows-a a drugi takav mehanizam je ASLR (adress space layout randomization), koji imaju važnu ulogu u blokiranju napada ili makar otežavanju istog. Internet Explorer koji radi u Protected Mode (zaštićeni mod) takođe ublažava posledice napada.

Iz kompanije Symantec kažu da su prvi put uočili da se bag o kojem je reč iskorišćava pre nekoliko dana kada su otkrili spam poruke poslate odabranim pojedincima u nekim kompanijama a koje su navodno bile obaveštenja o hotelskim rezervacijama. U tim email-ovima nalazi se link ka određenoj strani koja se nalazi na inače legitimnom sajtu kojem na koji su hakeri postavili određeni sadržaj bez znanja administracije sajta.

Računari posetilaca hakovanog sajta koji koriste IE 6 ili IE 7 koji ne podržavaju DEP zaštitu biće zaraženi malicioznim programom koji otvara otvorenim ulaz brojnim fajlovima sa dodatnim komandama.

S obzirom da su iz Symantec-a obavestili i Microsoft i vlasnike servera koji hostuje hakovanu stranicu i maliciozni softver, preduzete su i odgovarajuće mere tako da se spornom sajtu više ne može pristupiti. Iako je fajlovima na ovom serveru pristupilo mnogo ljudi iz kompanija širom sveta veoma malo njih je bilo ugroženo jer je su koristili browser-e koji nisu bili podložni napadima.

Ovo je ujedno i način na koji se ovaj propust koristi u aktuelnim napadima. Preduslov za napad je da napadač privuče korisnike da posete određeni web sajt, što se obično čini pomoću linka u email poruci ili poruci u Instant Messenger-u na koji korisnik treba da klikne kako bi dospeo na napadačev web sajt.

Sledeći redovni mesečni 'patch' očekuje se, kao i obično, drugog utorka u mesecu, 9. novembra. Malo je verovatno da će on uključiti ispravku za ovaj propust, tako da je 14. decembar datum kada treba očekivati da će biti objavljena zakrpa za ovaj bag.