28 stycznia w Warszawie odbyło się XIV spotkanie ABUSE-FORUM, grupy eksperckiej powstałej z inicjatywy NASK, zrzeszającej przedstawicieli zespołów reagujących CERT (Computer Emergency Response Team), zespołów bezpieczeństwa polskich operatorów telekomunikacyjnych oraz dostarczycieli treści internetowych.

Jednym z głównych tematów tego spotkania było omówienie ostatnich zagrożeń związanych z atakami komputerowymi, w których wykorzystano lukę w przeglądarce Internet Explorer. Problem ten był okazją do dyskusji na temat bezpieczeństwa przeglądarek internetowych, które są – jak wiadomo – podstawową aplikacją wykorzystywaną przez internautów, a przez to krytyczną z punktu widzenia poziomu ich bezpieczeństwa w sieci. Jak pokazują obserwacje, właśnie ataki poprzez przeglądarki stały się w ostatnim okresie najbardziej niebezpieczne.

Dyskusja podjęta w ramach ABUSE-FORUM doprowadziła do zgodnych opinii, według których przeglądarka Internet Explorer w wersji 6.x jest niebezpieczną aplikacją i nie powinna być narzędziem z którego korzysta się przy dostępie do treści internetowych. Korzystanie z niej związane jest z dużym ryzykiem zainfekowania swojego komputera złośliwym oprogramowaniem i w konsekwencji doprowadzenia do strat, również finansowych. Członkowie ABUSE-FORUM zdecydowanie rekomendują zaprzestanie używania tej przeglądarki. Jako alternatywne rozwiązania rekomendują używanie nowszej wersji przeglądarki firmy Microsoft lub przeglądarek innych producentów, np.:

• Microsoft IE 7.x oraz 8.x
• Firefox 3.x
• Google Chrome 4.x
• Opera 10

Przedstawiciele ABUSE-FORUM zadeklarowali ponadto chęć prowadzenia wspólnych działań zmierzających do minimalizacji wykorzystywania niebezpiecznej wersji przeglądarki Internet Explorer. W ramach współpracy, oprócz niniejszego komunikatu, firmy reprezentowane w Forum podejmą również kontakt ze swoimi klientami w celu uświadomienia im problemu i przekazania wymienionej powyżej rekomendacji a także rozpoczną działania techniczne prowadzące do identyfikacji internautów korzystających z IE 6.x, którzy w sposób specjalny zostaną poinformowani  o zagrożeniu i sposobie jego likwidacji.

W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

1. Zrezygnować z używania przeglądarki Internet Explorer 6
2. W przypadku używania przeglądarki Internet Explorer - korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem “Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem “Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.

W przeglądarce Internet Explorer została zidentyfikowana nowa luka typu 0day, która umożliwia atakującemu uruchomienie złośliwego kodu i w efekcie przejęcie kontroli nad maszyną użytkownika. Microsoft potwierdza w opublikowanym niedawno Security Advisory, że podatnością są objęte przeglądarki w wersjach 6 oraz 7. Wolny od zagrożenia pozostaje Internet Explorer w wersji 8 (wg. danych Microsoft). Użytkownicy starszych wersji przeglądarki powinni wyłączyć obsługę ActiveScripting w strefie Internet oraz Local Intranet do czasu pojawienia się stosownej łatki.

Pierwsze wzmianki o nowej luce pochodzą z listy BugTraq prowadzonej przez SecurityFocus. Analitycy z firm VUPEN Security oraz Symantec potwierdzają, że nowo-odkryta luka może być użyta do infekowania komputerów złośliwym kodem, jednakże jak dotąd nie zaobserwowano jej wykorzystania w Internecie.

(more…)

Ostatnia aktualizacja: 18.12.2008 (przejdź bezpośrednio)

W sieci powszechnie dostępny jest exploit na odkrytą niedawno lukę w przeglądarce Internet Explorer 7. Wczorajsze aktualizacje Micosoft nie łatały wykorzystywanej podatności, co oznacza, że nawet całkowicie zaktualizowane komputery są podatne na potencjalny atak. Exploit wykorzystuje lukę w module obsługującym XML i przepełnia stertę (tzw. atak heap overflow). Wcześniej sprawdza typ i wersję używanej przeglądarki, a także rodzaj systemu operacyjnego.

Przepełnienie sterty wykonuje się tylko dla IE w wersji 7 działającej w systemie Windows XP lub 2003. Nie wiadomo jednak na razie, czy inne wersje przeglądarki bądź systemu Windows (np. Vista) są podatne na atak. Ciekawy jest także fakt użycia funkcji sleep, która powoduje zawieszenie wykonywania kodu javaScript na określony czas (w wersji exploita, którą zdobyliśmy, są to 3 sekundy, natomiast wiadomo, że ta wartość zmienia się). Najprawdopodobniej chciano w ten sposób niejako “ogłupić” automatyczne narzędzia wykorzystywane do zbierania i/lub analizy malware’u.

Szkodliwy kod JavaScript opublikowany został m.in. na wielu chińskich serwisach społecznościowych (głównie forach, także blogach) traktujących o (nie)bezpieczeństwie komputerowym. Potencjalnie można go wykorzystać do wykonania w atakowanym systemie dowolnego kodu (najprawdopodobniej będzie to instalacja trojana lub inne złośliwe oprogramowanie). Wprawdzie brak jest doniesień o masowym wykorzystaniu exploita, jednak może być to tylko kwestią czasu. Należy zwrócić uwagę, że w przypadku masowego ataku taki złośliwy JavaScript może być wstrzyknięty do kodu strony www, którą do tej pory uważaliśmy za bezpieczną. Na razie nie istnieją żadne łaty poprawiające błąd, ale warto pamiętać, że podatna na atak jest tylko przeglądarka Internet Explorer.

Ataki na aplikacje klienckie są coraz chętniej wykorzystywane przez cyberprzestępców, szczególnie te skierowane na przeglądarki internetowe i dodatki do nich. W celu walki z tego typu zagrożeniem powstał projekt HoneySpider Network. Związane z nim nasze klienckie honeypoty potwierdziły zagrożenie, jakie niesie ze sobą opisany wyżej exploit.

Więcej informacji:
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://isc.sans.org/diary.html?storyid=5458

Aktualizacja (czw, 11 gru 2008, 13:53):

Jeszcze wczoraj pojawiła się w sieci wersja exploita, która działa także pod całkowicie zaktualizowanym systemem Windows Vista (zarówno z jak i bez SP1). Obie wersje złośliwego kodu (zarówno ta przeznaczona na Windowsa XP/2003 jak i na Vistę) są modyfikowane (cyberprzestępcy dostosowują je do swoich potrzeb) i najczęściej już nie sprawdzają rodzaju/wersji przeglądarki czy systemu operacyjnego, tylko próbują się wykonać za każdym razem.

Exploity ponadto są już powszechnie wykorzystywane do zarażania komputerów internautów: pojawia się coraz więcej stron www, które zawierają wyżej opisany złośliwy JavaScript. Są to głównie strony chińskie (domena .cn), do których odnośniki (URL) są wstrzykiwane w zawartość innych “legalnych” stron. Jak udało się ustalić specjalistom zajmującym się tym problemem komputery infekowane są najczęściej złośliwym oprogramowaniem wykradającym hasła do gier online. Oczywiście cyberprzestępcy mogą równie dobrze wykorzystać malware, który np. wykrada hasła do banków, numery kart kredytowych, czy zmienia komputer ofiary w członka botnetu (tzw. komputer-zombie).

Korzystając z serwisu Virustotal.com wysłaliśmy do przeskanowania przez silniki antywirusowe kilka wariantów exploita. Oto linki do wyników analiz:

• www.virustotal.com/analisis/cac8d964051da96907b2a509d99c5ddf (wykryło 6/37 antywirusów, 16,22%)
• www.virustotal.com/analisis/cbf99af64ed8c638acded59e959917fb (wykryło 15/38 antywirusów, 39,48%)
• www.virustotal.com/analisis/ee75aaa813e95b144f01ddd4e3bad2ed (wykryło 14/38 antywirusów, 36,85%)

Więcej informacji można znaleźć na stronach:
http://blogs.zdnet.com/security/?p=2296
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210

Aktualizacja (czw, 18 gru 2008, 10:30):

Microsoft wydał patch łatający opisaną wyżej lukę (biuletyn bezpieczeństwa oznaczony numerem MS08-078). Apelujemy zatem do wszystkich użytkowników systemów Windows o jak najszybsze zaktualizowanie swojej przeglądarki Internet Explorer nawet, jeżeli nie jest ona używana do surfowania po internecie (ponieważ wiele aplikacji – jak np. Gadu-Gadu – korzysta z niej i przez to pośrednio jest podatne na ataki). Można to zrobić poprzez:

• Aktualizacje automatyczne (dostępne w Panel sterowania),
• korzystając z witryny Microsoft Update
• ściągając odpowiednią do posiadanego systemu i wersji przeglądarki poprawkę bezpośrednio ze strony Centrum Pobierania Microsoft i instalując ją ręcznie.

Sorry, but this post is not available in English

Sorry, but this post is not available in English

Sorry, but this post is not available in English