BitDefender® a lansat ieri o actualizare de urgenţă pentru a proteja utilizatorii împotriva unei noi vulnerabilităţi în Internet Explorer versiunile 6 şi 7. Microsoft a detaliat scenariile de atac în buletinul de securitate #981374, dar nu a lansat încă un patch pentru rezolvarea acestei vulnerabilităţi.
Utilizatorii care folosesc Internet Explorer versiunile 6 şi 7 se pot infecta prin simpla vizitare a unei pagini web special creată în care se foloseşte cod JavaScript obfuscat. Acest cod generează o eroare tip “use-after-free” (folosire după dezalocare), cauzată de un pointer care este accesat după ce un obiect a fost şters.
Anatomia atacului
Utilizatorul este ademenit să viziteze o pagină web creată special printr-un link trimis fie într-un mesaj spam sau postat pe un forum sau chiar pe reţele sociale, etc. Pagina în cauză conţine cod JavaScript camuflat prin folosirea functiei escape. Pentru a evitarea detecţiei de către soluţiile anti-virus, script-ul accesează un al doilea JavaScript ce înlocuieşte o variabilă din cod cu un string unescape.
Rezultatul execuţiei este un exploit care va declanşa un atac de tip “heap spray” (tehnică folosită de un exploit care facilitează execuţia unui cod în mod arbitrar) şi va scrie cod maliţios, care se va stoca permanent în cache-ul browser-ului: de fiecare dată când browser-ul este pornit, codul maliţios este executat fără nici o intervenţie ulterioară, care va rezulta în descărcarea automată a unui fişier numit notes.exe sau svchost.exe (detectat de BitDefender ca Trojan.Heur.PT.cqW@aeUw@pbb).
Abordarea este similară cu cea descrisă în CVE-2010-0249 şi care a fost folosită în atacurile ţintite către 34 corporaţii mari inclusiv Google™ şi Adobe™.
Eliminarea riscurilor
Microsoft a anunţat că exploit-ul circulă deja online şi că utilizatorii vor primi în scurt timp un patch care să îi protejeze. Cel mai probabil, furnizorul va emite un patch pe 13 aprilie. Cum Internet Explorer 8 nu este vulnerabil la acest atac, următorul pas ar fi un upgrade imediat. Totuşi multe aplicaţii personalizate din mediul business sunt strict legate de IE6 sau IE7 şi nu pot folosi Internet Explorer 8.
BitDefender detectează exploit-ul şi blochează codul maliţios înainte ca acesta să provoace daune calculatorului. Mai mult, toţi clienţii BitDefender sunt protejaţi proactiv împotriva codului infectat pe care exploit-ul încearcă să îl instaleze pe calculatorul vizat.
Pentru protejarea sistemului, BitDefender® recomandă descărcarea, instalarea şi actualizarea unei suite antimalware, care să conţină antivirus, antispam, soluţie antiphishing şi protecţie firewall, dar şi să fie precauţi dacă sunt invitaţi să deschidă fişiere provenite din surse necunoscute.
{mosloadposition user10}
