從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?


hacker with mask2

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現,這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文(美國)、簡體中文(中國)、繁體中文(台灣)、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告,微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護:

 

  • 1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
  • 1005301 – Identified Suspicious JavaScript Encoded Window Location Object
  • 1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

 

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後(use-after-free)漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的,趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發,這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後,當頁面重新載入時,它的引用會被再次使用並指向無效的記憶體位置,讓當前使用者執行任意程式碼。微軟的IE6、IE7,IE8都會受到影響,但新版本 – IE9、IE10則沒有這個漏洞。

 

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上,早在二〇〇九年就有出現過這種技術,不過他們同時也認為水坑攻擊在未來將會更加普遍,並且將專門用在目標攻擊上。為什麼呢?

Raimund對二〇一三年的預測裡提供了一個可能的答案,他說,攻擊者將更加著重於如何去佈署威脅,而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊,以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的,我們會發現所使用的方法都非常熟悉。然而,這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上,就好像魚叉式網路釣魚(Phishing)郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法,因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點,攻擊者所利用的不再僅僅是軟體漏洞,還有使用者本身。 繼續閱讀