Telenor Sikkerhetssenter - Daglig nyhetsbrev 2010.01.15

Kommentar til dagens nyhetsbrev:

Det har blitt oppdaget en 0-day svakhet i Internet Explorer som kan utnyttes til å kjøre vilkårlig kode ved å lure brukeren til å åpne et spesielt utformet HTML-dokument, for eksempel ved å besøke en nettside som inneholder kode som utnytter svakheten.

Google og flere andre selskaper melder at de har vært utsatt for angrep rettet mot tyveri av av informasjon. Google melder at de som en del av sin etterforsking har oppdaget minst 20 andre selskap som har vært utsatt for tilsvarende angrep, mens CNet melder at det gjelder over 30 selskap.

Google og Adobe utsatt for angrep rettet mot informasjonstyveri

Analytikers kommentar
Google og Adobe har blitt utsatt for angrep rettet mot tyveri av blant annet kildekode og immaterielle eiendeler.

Google rapporterer på sin offisielle blogg at de har blitt utsatt for informasjonstyveri. Etter nærmere undersøkelse har de kommet frem til at minst 20 andre store firma også har blitt utsatt for liknende angrep. De nevner også at de har bevis som indikerer at hovedmålet for angrepene var å skaffe seg tilgang til Gmail-kontoer tilhørende kinesiske menneskerettighetsforkjempere. To Gmail-kontoer har blitt aksessert, men det antas at angriperne kun fikk tilgang til kontoinformasjon (dato for opprettelse av konto) og e-postenes emnefelt.

I forbindelse med undersøkelsen oppdaget de også at andre kontoer, også de tilhørende forkjempere for menneskerettigheter i Kina, rutinemessig har blitt aksessert av tredjeparter. De presiserer at tilgang til disse kontoene ikke har blitt tilegnet gjennom sikkerhetsfeil hos Google, men sannsynligvis som følge av phishing eller plassering av malware på brukernes maskiner.

I likhet med Google, har også Adobe postet informasjon bloggen sin om at de holder på å undersøke angrep av samme type. Til nå har de ikke oppdaget noe som tyder på at sensitiv informasjon har lekket ut.

Angrepene startet ved at phishing-mail med infiserte vedlegg ble sendt til de forskjellige firmaene. Mailene så ut til å komme fra bekjente, og mange av brukerne ble lurt til å åpne vedleggene, som så ut som helt legitime dokumenter. Så fort vedleggene ble åpnet, ble den skadelige koden kjørt, og angriperne fikk ekstern tilgang til det infiserte systemet.

Microsoft rapporter på sin blogg at 0-day svakheten i Internet Explorer som er nevnt i dette nyhetsbrevet også var en av angrepsvektorene som ble brukt.
Referanser
http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=222300840&cid=RSSfeed
http://blogs.adobe.com/conversations/2010/01/adobe_investigates_corporate_n.html
http://tech.slashdot.org/story/10/01/15/0013239/IE-0-Day-Flaw-Used-In-Chinese-Attack?from=rss&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2FslashdotIt+(Slashdot%3A+IT)
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
http://news.cnet.com/8301-27080_3-10434721-245.html

Microsoft Internet Explorer allows remote code execution

Type Alvorlighetsgrad Kategori Dato ID
Ekstern kodeeksekvering
Ekstern tjenestenekt
Kritisk Svakhet
2010-01-15 04:42:47 7504
Analytikers kommentar
Det har blitt oppdaget en sårbarhet i Microsoft Internet Explorer hvor en ugyldig peker til et objekt kan aksesseres etter at objektet har blitt slettet. Ved å lure brukeren til å laste inn et spesielt utformet HTML-dokument, kan en ekstern angriper få kjørt vilkårlig kode eller skape tjenestenekt.

For øyeblikket finnes det ingen patch som tetter hullet. Microsoft anbefaler derfor å sette "Internet zone security"-innstillinger til "High", konfigurere Internet Explorer til å varsle/slå av Active Scripting, samt å slå på DEP for Internet Explorer 6 Service Pack 2 og Internet Explorer 7.
Sårbare systemer Anbefaling
Internet Explorer 6, 7 og 8. Sett "Internet zone security"-innstillinger til "High", konfigurer Internet Explorer til å varsle/slå av Active Scripting og slå på DEP for Internet Explorer 6 Service Pack 2 og Internet Explorer 7.
Referanser
http://www.microsoft.com/technet/security/advisory/979352.mspx
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx