Jedna luka w IE wciąż nie załatana - już są pierwsze ataki

Microsoft opublikował przedwczoraj najnowszy pakiet uaktualnień dla Windows oraz swoich aplikacji - jednak wśród nich nie znalazła się poprawka usuwającą wykrytą przed kilkoma dniami nową lukę w AcrtiveX. Nic więc dziwnego, że internetowi przestępcy już zaczęli wykorzystywać ów błąd do atakowania użytkowników Windows...

Specjaliści ds. bezpieczeństwa zaobserwowali już kilka różnych metod ataku - za każdym razem jest on przeprowadzany przez tę samą lukę w komponencie ActiveX (odpowiedzialnym za wyświetlanie w oknie przeglądarki dokumentów programu MS Excel). O niezależnych incydentach informowali m.in. przedstawiciele firm Symantec oraz Sunbelt Software, a także działającego w ramach SANS Institute zespołu Internet Storm Center (ISC).

Wśród poprawek udostępnionych przedwczoraj przez Microsoft znalazło się co prawda narzędzie, które umożliwia tymczasowe rozwiązanie problemu (nie usuwa ono luki - zamiast tego wyłącza wadliwy komponent IE). Niestety - specjaliści obawiają się, że nie zda się ono na wiele. Przede wszystkim dlatego, że większość użytkowników prawdopodobnie nie zdecyduje się na skorzystanie z niego.

Na wysyp nowych ataków zareagował już Symantec - firma podniosła swój wskaźnik zagrożenia ThreatCon w Sieci do poziomu 2. "Zaobserwowaliśmy już ataki przez tę lukę - na szczęście na razie jest to dość rzadkie zjawisko" - mówi Ben Greenbaum, specjalista z SSRT (Symantec Security Response Team). Również firma Sunbelt uznała, że poziom zagrożenia w Sieci wzrósł (zdaniem jej przedstawicieli, jest ono obecnie "wysokie"). "Zmieniliśmy status wskaźnika Sunbelt Threat Level na "wysoki" - ponieważ zarówno nasi analitycy, jak i co najmniej dwie inne firmy, zaobserwowali przypadki wykorzystywania tego błędu w realnych atakach" - tłumaczy Tom Kelchner z Sunbelt.

Identycznie zareagowali też członkowie Internet Storm Center, który poziom zagrożenia sygnalizuje kolorami - ustawiono tam kod "żółty". Był to efekt wykrycia przez specjalistów z ISC całkiem pokaźnej liczby stron WWW, hostujących złośliwy kod wykorzystywany podczas ataków. "Wiemy też o wysoce "stargetowanym" ataku na pewną korporację, w którym wykorzystano dokumenty MS Office z osadzonym niebezpiecznym kodem HTML. Był wyjątkowo groźny - przygotowano go z myślą o tej konkretnej firmie, co pozwoliło przestępcom na odpowiednie sformułowanie tytułu e-maila i treści dokumentów - tak, by ich adresaci sądzili, że to prawdziwa biznesowa korespondencja" - opowiadają w blogu pracownicy ISC.

Z pierwszych analiz wynika, że większość ataków przeprowadzana jest z chińskich stron WWW - najwięcej złośliwych dokumentów osadzonych jest na witrynach zarejestrowanych w domenie .cn. Przestępcy korzystają zwykle z narzędzia hakerskiego o nazwie MPACK, które niedawno zostało uaktualnione właśnie o exploit na lukę w ActiveX.

Microsoft pracuje już nad poprawką, która ma usunąć ten błąd - aczkolwiek na razie nie wiadomo, kiedy może być ona gotowa. Koncern nie podał na razie żadnych informacji na ten temat; rekomendowanym przez firmę tymczasowym sposobem zabezpieczenia się jest skorzystanie z udostępnionego w ramach lipcowego pakietu aktualizacji narzędzia do wyłączania wadliwego komponentu (które automatycznie wprowadza niezbędne zmiany do rejestru systemowego). Problem w tym, że należy je zainstalować ręcznie - eksperci obawiają się, że wiele osób zignoruje to zalecenie.

Więcej informacji oraz narzędzie do modyfikowania rejestru można znaleźć na stronie Microsoftu.


Zobacz również