2014年5月12日 星期一

「祕狐行動」IE零時差漏洞解密

「祕狐行動」IE零時差漏洞解密

當資安公司FireEye Research Labs在追蹤一個有組織性的駭客攻擊計畫時,意外發現這個現已被微軟編號為CVE-2014-1776的IE零時差漏洞,不少攻擊者正積極使用這個漏洞,展開攻擊行動


當資安公司FireEye在追蹤一個有組織性的駭客攻擊計畫時,意外地發現了這個現已被微軟編號為CVE-2014-1776的IE零時差漏洞,不少攻擊者正積極的使用這個漏洞,展開有目的且持續性的攻擊行動。FireEye雖礙於某些原因無法透漏細節,但暗示此為國家級的手法,已將這個攻擊行動命名為「祕狐行動」,攻擊的主要對象為IE版本9到11。

這次的IE零時差攻擊總括來說,利用了一個之前未知的記憶體使用後釋放(Free-after-use)的漏洞,以及一個已知的Flash漏洞,繞過作業系統的記憶體保護機制,包含位址空間配置隨機載入和資料執行防止,以達到任意存取記憶體的目的,進一步控制被入侵的電腦。

現今的作業系統皆有不少記憶體保護技術,如,位址空間配置隨機載入(ASLR,Address Space Layout Randomization)及資料執行防止(DEP,Data Execution Prevention)。位址空間配置隨機載入指的是利用隨機的方式配置記憶體位置,避免惡意程式攻擊已知的記憶體位置。而資料執行防止指的是,利用額外的軟體或硬體技術檢查記憶體,避免惡意程式碼的執行。不過在這次的漏洞攻擊中,攻擊者成功躲過這兩個記憶體保護機制,以至於沒有發揮作用。

啟用多種保護工具提高系統安全性

經過FireEye 測試,微軟提供的安全防護工具EMET 4.1以及5.0版本能夠成功防止駭客控制使用者的電腦,而IE11加強的受保護模式(Enhanced Protected Mode)也可以阻擋這個IE零時差漏洞被利用。另外,這個IE零時差漏洞攻擊使用的是Flash的弱點,因此,使用者只要停用Flash外掛就可以避免這次的攻擊

微軟編號CVE-2014-1776漏洞攻擊手法詳解 

負責這次漏洞攻擊的駭客是APT集團,過去他們也是第一個發現以瀏覽器為基礎(IE、 Firefox和Flash)的零時差漏洞的團隊,APT集團極度有效率,他們從不使用重複的指令及控制基礎架構,因此也難以追蹤,更不幸的是,他們手中握有為數不少的程式後門,難以預料下一個受害者是誰。據FireEye分析這次IE零時差漏洞攻擊手法如下





轉載自《iThome