Хакеры воспользовались уязвимостью нулевого дня в Internet Explorer 9 и 10, очевидно, для кражи информации у американских военных.
Microsoft подтвердила наличие уязвимости и предупредила пользователей о необходимости обновления до Internet Explorer 11.
По данным охранной компании FireEye, которая обнаружила уязвимость, эксплойт обслуживается на веб-сайте организации ветеранов зарубежных войн США (vfw.org).
Мы считаем, что атака является стратегическим веб-компромиссом, нацеленным на американских военнослужащих на фоне парализующей снежной бури в Капитолии США.
«Мы считаем, что эта атака является стратегическим веб-компромиссом, нацеленным на американских военнослужащих в условиях парализующей снежная буря в Капитолии США в дни, предшествующие праздничным выходным, посвященным Дню президентов», — сообщили в компании.
Компания предположила, что атака была использована против бывших и нынешних военнослужащих с целью кражи военной разведки, и заявила, что хакеры стояли за двумя другими шпионскими операциями.
Как это произошло
Злоумышленники скомпрометировали сайт VFW, внедрив тег iframe, который незаметно запустил второй сайт, на котором размещен эксплойт. «На HTML/JavaScript-странице злоумышленника используется Flash-объект, который управляет остальной частью эксплойта», — заявили в компании. FireEye не назвала второй сайт.
Эксплойт использует ошибку «использования после освобождения» в IE, позволяющую злоумышленникам изменять отдельные байты памяти по указанному адресу.
По данным FireEye, эта ошибка позволяет хакерам обойти ключевой механизм защиты памяти — рандомизацию адресного пространства (ASLR). Это упрощает обход других мер безопасности для запуска вредоносного ПО.
FireEye заявила, что работает с Microsoft, чтобы узнать больше об атаке.
«Microsoft известно об ограниченных целенаправленных атаках на Internet Explorer 9 и 10», — заявил представитель Microsoft. «Поскольку наше расследование продолжается, мы рекомендуем клиентам перейти на Internet Explorer 11 для дополнительной защиты».
