一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現,這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文(美國)、簡體中文(中國)、繁體中文(台灣)、日本、韓國或俄羅斯才會被影響。
微軟已經針對該漏洞發布一個安全公告,微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護:
- 1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
- 1005301 – Identified Suspicious JavaScript Encoded Window Location Object
- 1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated
上述規則可以偵測所有已知變種的攻擊。
微軟IE瀏覽器的使用釋放後(use-after-free)漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的,趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發,這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後,當頁面重新載入時,它的引用會被再次使用並指向無效的記憶體位置,讓當前使用者執行任意程式碼。微軟的IE6、IE7,IE8都會受到影響,但新版本 – IE9、IE10則沒有這個漏洞。
舊卻有效
水坑攻擊(Watering Hole )並不算新,事實上,早在二〇〇九年就有出現過這種技術,不過他們同時也認為水坑攻擊在未來將會更加普遍,並且將專門用在目標攻擊上。為什麼呢?
Raimund對二〇一三年的預測裡提供了一個可能的答案,他說,攻擊者將更加著重於如何去佈署威脅,而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊,以設計出更加有效進入目標的方法。
如果我們檢視水坑攻擊是如何運作的,我們會發現所使用的方法都非常熟悉。然而,這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上,就好像魚叉式網路釣魚(Phishing)郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法,因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點,攻擊者所利用的不再僅僅是軟體漏洞,還有使用者本身。
如同Tom Kellermann和Nart Villeneuve所說,我們在未來的一年可能會看到更多水坑攻擊,因此重要的是使用者要拿出解決方案,必須和這種攻擊一樣具備策略性,甚至更強大。
@原文出處:Why is the Watering Hole Technique Effective? 作者:JM Hipolito
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”
木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局
《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送
《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)
淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例
《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊