Microsoft подтвердила недавние отчеты об активных атаках и установке вредоносного программного обеспечения на компьютеры под управлением полностью обновленного интернет-браузера Internet Explorer 10. Эксплоит нулевого дня обслуживался на сайте vfw[.]org, являющегося сайтом американской ассоциации Veterans of Foreign Wars. Впервые об опасности заявила секьюрити-компания FireEye.
Здесь заявляли, что люди, стоящие за атакой, скомпрометировали сайт VFW и встроили в него вредоносный фрейм, который подгружал вредоносный контент со стороннего сервера. В FireEye не идентифицировали сторонний сервер-вредонос, однако в израильской компании Seculert заявили, что этим сервером является alistatus.com.
Позже аналогичные методики были использованы для атаки на других ресурсах. Все они ориентированы на IE, а также на использование специального модификатора изменяющего адрес. Технология использованной атаки обходит технику ASLR (address space layout randomization), созданную для минимизации вреда от эксплоитов, подгружающих в память компьютера свои данные. Эта технология не позволяет определить, в каком именно сегменте памяти находится вредоносный код.
Напомним, что ранее злоумышленники атаковали браузеры похожим образом в рамках кампаний Operation Deputy Dog и Operation Ephemeral Hydra. В Microsoft заявили, что признают факт уязвимости браузера и говорят, что занимаются исследованием ситуации. В качестве меры по обеспечении безопасности, Microsoft рекомендовала переход на новую версию Internet Explorer 11.
