Ameaça crítica de Dia Zero explora falha em browse
15.01.2009
Uma brecha crítica no Internet Explorer (IE) foi identificada em meados de Dezembro, fazendo com que a Microsoft divulgasse a segunda atualização de patch não-programada em apenas dois meses, finalizando assim um conturbado ano de graves incidentes de segurança. Neste caso, a vulnerabilidade foi considerada “crítica” – a classificação mais grave para ameaças no sistema de quatro níveis da Microsoft. Esta vulnerabilidade já foi explorada em ataques “drive-by”, que utilizam sites autênticos comprometidos por injeção SQL para infectar computadores desprotegidos. Este tipo de ataque não requer interação do usuário - basta visualizar o site infectado com um browser vulnerável (neste caso, o Internet Explorer) para que computadores desprotegidos sejam infectados com trojans, backdoors, rootkits e outros códigos maliciosos, baixados e executados sem que o usuário perceba.
Definição da Ameaça
No dia 9 de dezembro de 2008, várias páginas index.php de painéis de mensagem e fóruns Chineses redirecionavam browsers para páginas contendo um código que explorava uma vulnerabilidade desconhecida e várias outras conhecidas do IE. De acordo com analistas de segurança, os sites são invadidos por injeção SQL. Para isto, os cybercriminosos injetam códigos maliciosos em strings que são enviados às áreas de entrada do Website atacado, repassadas aos servidores SQL e então executadas. Muitos dos ataques em massa recentes utilizaram esta técnica.
A Trend Micro identificou o script que explora a brecha no IE como JS DLOAD.MD. O “kit” de exploit possibilita o download do malware, que varia conforme a vulnerabilidade detectada. O malware baixado inclui Trojans AGENT, rootkits (RTKT BUREY.C), e malware para roubo de dados (variantes da família TSPY_ONLINEG). Várias horas após esta descoberta, o número de URLs maliciosos levando a executáveis também maliciosos chegou a quase mil.
1. Um usuário visita um site hackeado com JS)DLOAD.MD.
2. JS_DLOAD.MD redireciona browsers.
3. O browser finalmente redireciona a uma página com “kit” de exploração.
4. Assim que o exploit é executado, o PC baixa arquivos.
5. Os arquivos podem ser adware, worms, Trojans ou TSPYs, dependendo da vulnerabilidade.
O exploit bombardeia uma parte da memória da aplicação com uma enxurrada de caracteres (também conhecido como heap spray), se aproveitando da maneira como o Internet Explorer lida com data bindings dinâmicos HTML. Data Binding é o estabelecimento de relação entre dados de modo que qualquer mudança em um dos dados cause mudanças em dados relacionados. Pesquisadores e analistas temiam pelo pior enquanto aguardavam que a Microsoft anunciasse uma solução para esta vulnerabilidade, que então já se tornara pública. Eles formularam cenários de contingência, alguns dos quais incluíam a desabilitação de certos recursos e funcionalidades do IE, com os mais radicais chegando a recomendar o uso de outros browsers. Não existia patch durante o pico destes ataques, enquanto os pesquisadores de vulnerabilidade encontravam outras brechas para este código malicioso. Alguns dias depois, pesquisadores da Trend Micro identificaram mais de 6.000 sites injetados com o código malicioso. Alguns dos scripts exploravam vulnerabilidades do IE para baixar o WORM_AUTORUN.BSE. Este worm cria mais de cinquenta entradas de registro, o que garantiria sua execução automática a cada inicialização do PC infectado. Além disto, o worm se conecta a locais remotos para baixar ainda mais arquivos, incluindo Trojans, adware, e outros worms. Depois de uma semana tensa, a Microsoft finalmente lançou o Boletim de Segurança da Microsoft MS08-078.
A exploração de brechas em browsers é explorada com frequência devido à sua inerente conectividade na Internet. Todos aqueles que acessam a Internet utilizam um dos muitos browsers disponíveis, como o Internet Explorer, Mozilla Firefox, Apple Safari e Opera. Assim, cybercriminosos conseguem atingir mais vítimas com menos esforço utilizando brechas em browsers. Usuários que não realizarem a atualização para versões mais recentes se tornam alvos preferenciais deste tipo de ataque – e ainda existem muitos destes usuários, especialmente os usuários “casuais”. Enquanto os fabricantes ainda trabalham no desenvolvimento de patches, todos os usuários estão sujeitos ao ataque.
Em junho do ano passado, um pesquisador de segurança descobriu uma vulnerabilidade no Safari que tornava os sistemas suscetíveis a vários arquivos maliciosos não solicitados. A indústria de software cunhou o termo “carpet-bombing” (bombardeamento de carpete) como uma alusão ao alcance do estrago causado para as vítimas. O recém-lançado Chrome, da Google, herdou a mesma brecha, apesar de que uma das maneiras de imediatamente remediar o problema é simplesmente ajustar as configurações de download na caixa de diálogo de opções do programa. Ainda em junho, o Firefox passou por semelhantes dificuldades com o público devido a uma brecha que poderia permitir que cybercriminosos sequestrem PCs que visitam determinados sites utilizando o Firefox.
Os bugs de Dia Zero, contudo, aumentam o perigo para usuários e o lucro para os cybercriminosos, levando o crime na internet para um novo patamar. Usuários conscientes que realizam atualizações constantes correm o mesmo risco de usuários mais negligentes. Somente aqueles usuários com maior conhecimento técnico terão tempo e disposição para vasculhar artigos e blogs de segurança em busca de soluções que exijam reconfiguração de seus navegadores. Esta ameaça é intensificada pela disponibilidade de kits comerciais que permitem que mesmo cybercriminosos sem experiência utilizem estas brechas com códigos complexos para seus próprios ataques.
Riscos e Exposição do Usuário
Ataques de Dia Zero podem, em última instância, resultar em perda da identidade online do usuário, da informação pessoal e ativos financeiros. Nos jogos online, usuários podem perder informações sobre fases e outros itens coletados ao longo do tempo. A vulnerabilidade de data binding afeta todas as versões do Internet Explorer, mas a maioria dos ataques foram direcionados a usuários do Internet Explorer 7. O ataque não requer qualquer interação do usuário além da simples visualização das páginas infectadas, algumas das quais encontram-se em sites autênticos e bem conhecidos. Os cybercriminosos infectam prioritariamente sites conhecidos com um grande volume de visitação para assim atingir um maior número de usuários. Em alguns ataques, o código faz com que o browser pare de responder, causando ainda mais perda de dados.
Até o fechamento desta matéria, aproximadamente 15.000 varreduras monitoradas encontraram infecções JS_DLOAD.MD, a maior parte das quais estão na China. Jogos online são muito populares na China e atraem muitos jogadores, e os sites hackeados estavam em Chinês.
Recomendações e Soluções Trend Micro
A segurança oferecida pelo Trend Micro Smart Protection Network é muito mais inteligente do que aquela proporcionada por abordagens mais tradicionais. Esta solução bloqueia as ameaças mais recentes antes mesmo que cheguem à sua máquina. Esta tecnologia é impulsionada pelo Data Center da Trend Micro, oferecendo uma combinação única de proteção na nuvem com uma arquitetura leve de cliente para uma proteção imediata e automática sempre que você se conectar.
O Smart Protection Network oferece uma camada de defesa através da tecnologia de Web Reputation, que bloqueia a conexão a fontes com reputação duvidosa para prevenir a infecção. Neste ataque, o acesso a URLs maliciosos está sendo bloqueado, e portanto os usuários ficam protegidos dos arquivos maliciosos. Além disto, a tecnologia File Reputation fornece maior proteção ao verificar a integridade de todos os arquivos que forem baixados sem a ciência do usuário em caso de reputação desconhecida de URL. Por último, no nível do usuário, a tecnologia antivírus detecta e remove as variantes JS_DLOAD.MD, RTKT_BUREY.C, WORM_AUTORUN.BSE, TSPY_ONLINEG e outras ameaças
Fonte: Trend Micro
15.01.2009
Uma brecha crítica no Internet Explorer (IE) foi identificada em meados de Dezembro, fazendo com que a Microsoft divulgasse a segunda atualização de patch não-programada em apenas dois meses, finalizando assim um conturbado ano de graves incidentes de segurança. Neste caso, a vulnerabilidade foi considerada “crítica” – a classificação mais grave para ameaças no sistema de quatro níveis da Microsoft. Esta vulnerabilidade já foi explorada em ataques “drive-by”, que utilizam sites autênticos comprometidos por injeção SQL para infectar computadores desprotegidos. Este tipo de ataque não requer interação do usuário - basta visualizar o site infectado com um browser vulnerável (neste caso, o Internet Explorer) para que computadores desprotegidos sejam infectados com trojans, backdoors, rootkits e outros códigos maliciosos, baixados e executados sem que o usuário perceba.
Definição da Ameaça
No dia 9 de dezembro de 2008, várias páginas index.php de painéis de mensagem e fóruns Chineses redirecionavam browsers para páginas contendo um código que explorava uma vulnerabilidade desconhecida e várias outras conhecidas do IE. De acordo com analistas de segurança, os sites são invadidos por injeção SQL. Para isto, os cybercriminosos injetam códigos maliciosos em strings que são enviados às áreas de entrada do Website atacado, repassadas aos servidores SQL e então executadas. Muitos dos ataques em massa recentes utilizaram esta técnica.
A Trend Micro identificou o script que explora a brecha no IE como JS DLOAD.MD. O “kit” de exploit possibilita o download do malware, que varia conforme a vulnerabilidade detectada. O malware baixado inclui Trojans AGENT, rootkits (RTKT BUREY.C), e malware para roubo de dados (variantes da família TSPY_ONLINEG). Várias horas após esta descoberta, o número de URLs maliciosos levando a executáveis também maliciosos chegou a quase mil.
1. Um usuário visita um site hackeado com JS)DLOAD.MD.
2. JS_DLOAD.MD redireciona browsers.
3. O browser finalmente redireciona a uma página com “kit” de exploração.
4. Assim que o exploit é executado, o PC baixa arquivos.
5. Os arquivos podem ser adware, worms, Trojans ou TSPYs, dependendo da vulnerabilidade.
O exploit bombardeia uma parte da memória da aplicação com uma enxurrada de caracteres (também conhecido como heap spray), se aproveitando da maneira como o Internet Explorer lida com data bindings dinâmicos HTML. Data Binding é o estabelecimento de relação entre dados de modo que qualquer mudança em um dos dados cause mudanças em dados relacionados. Pesquisadores e analistas temiam pelo pior enquanto aguardavam que a Microsoft anunciasse uma solução para esta vulnerabilidade, que então já se tornara pública. Eles formularam cenários de contingência, alguns dos quais incluíam a desabilitação de certos recursos e funcionalidades do IE, com os mais radicais chegando a recomendar o uso de outros browsers. Não existia patch durante o pico destes ataques, enquanto os pesquisadores de vulnerabilidade encontravam outras brechas para este código malicioso. Alguns dias depois, pesquisadores da Trend Micro identificaram mais de 6.000 sites injetados com o código malicioso. Alguns dos scripts exploravam vulnerabilidades do IE para baixar o WORM_AUTORUN.BSE. Este worm cria mais de cinquenta entradas de registro, o que garantiria sua execução automática a cada inicialização do PC infectado. Além disto, o worm se conecta a locais remotos para baixar ainda mais arquivos, incluindo Trojans, adware, e outros worms. Depois de uma semana tensa, a Microsoft finalmente lançou o Boletim de Segurança da Microsoft MS08-078.
A exploração de brechas em browsers é explorada com frequência devido à sua inerente conectividade na Internet. Todos aqueles que acessam a Internet utilizam um dos muitos browsers disponíveis, como o Internet Explorer, Mozilla Firefox, Apple Safari e Opera. Assim, cybercriminosos conseguem atingir mais vítimas com menos esforço utilizando brechas em browsers. Usuários que não realizarem a atualização para versões mais recentes se tornam alvos preferenciais deste tipo de ataque – e ainda existem muitos destes usuários, especialmente os usuários “casuais”. Enquanto os fabricantes ainda trabalham no desenvolvimento de patches, todos os usuários estão sujeitos ao ataque.
Em junho do ano passado, um pesquisador de segurança descobriu uma vulnerabilidade no Safari que tornava os sistemas suscetíveis a vários arquivos maliciosos não solicitados. A indústria de software cunhou o termo “carpet-bombing” (bombardeamento de carpete) como uma alusão ao alcance do estrago causado para as vítimas. O recém-lançado Chrome, da Google, herdou a mesma brecha, apesar de que uma das maneiras de imediatamente remediar o problema é simplesmente ajustar as configurações de download na caixa de diálogo de opções do programa. Ainda em junho, o Firefox passou por semelhantes dificuldades com o público devido a uma brecha que poderia permitir que cybercriminosos sequestrem PCs que visitam determinados sites utilizando o Firefox.
Os bugs de Dia Zero, contudo, aumentam o perigo para usuários e o lucro para os cybercriminosos, levando o crime na internet para um novo patamar. Usuários conscientes que realizam atualizações constantes correm o mesmo risco de usuários mais negligentes. Somente aqueles usuários com maior conhecimento técnico terão tempo e disposição para vasculhar artigos e blogs de segurança em busca de soluções que exijam reconfiguração de seus navegadores. Esta ameaça é intensificada pela disponibilidade de kits comerciais que permitem que mesmo cybercriminosos sem experiência utilizem estas brechas com códigos complexos para seus próprios ataques.
Riscos e Exposição do Usuário
Ataques de Dia Zero podem, em última instância, resultar em perda da identidade online do usuário, da informação pessoal e ativos financeiros. Nos jogos online, usuários podem perder informações sobre fases e outros itens coletados ao longo do tempo. A vulnerabilidade de data binding afeta todas as versões do Internet Explorer, mas a maioria dos ataques foram direcionados a usuários do Internet Explorer 7. O ataque não requer qualquer interação do usuário além da simples visualização das páginas infectadas, algumas das quais encontram-se em sites autênticos e bem conhecidos. Os cybercriminosos infectam prioritariamente sites conhecidos com um grande volume de visitação para assim atingir um maior número de usuários. Em alguns ataques, o código faz com que o browser pare de responder, causando ainda mais perda de dados.
Até o fechamento desta matéria, aproximadamente 15.000 varreduras monitoradas encontraram infecções JS_DLOAD.MD, a maior parte das quais estão na China. Jogos online são muito populares na China e atraem muitos jogadores, e os sites hackeados estavam em Chinês.
Recomendações e Soluções Trend Micro
A segurança oferecida pelo Trend Micro Smart Protection Network é muito mais inteligente do que aquela proporcionada por abordagens mais tradicionais. Esta solução bloqueia as ameaças mais recentes antes mesmo que cheguem à sua máquina. Esta tecnologia é impulsionada pelo Data Center da Trend Micro, oferecendo uma combinação única de proteção na nuvem com uma arquitetura leve de cliente para uma proteção imediata e automática sempre que você se conectar.
O Smart Protection Network oferece uma camada de defesa através da tecnologia de Web Reputation, que bloqueia a conexão a fontes com reputação duvidosa para prevenir a infecção. Neste ataque, o acesso a URLs maliciosos está sendo bloqueado, e portanto os usuários ficam protegidos dos arquivos maliciosos. Além disto, a tecnologia File Reputation fornece maior proteção ao verificar a integridade de todos os arquivos que forem baixados sem a ciência do usuário em caso de reputação desconhecida de URL. Por último, no nível do usuário, a tecnologia antivírus detecta e remove as variantes JS_DLOAD.MD, RTKT_BUREY.C, WORM_AUTORUN.BSE, TSPY_ONLINEG e outras ameaças
Fonte: Trend Micro
 |
 |
 |
| Porto Alegre: 55 51 3029.0029 - Curitiba: 55 41 3027.2700 - Plantão 24 horas: 55 51 9330.0306 |
|
© 2008 PBI. Todos os direitos reservados. | Mapa do Site | Notas Legais | Política de Privacidade |
|