微軟發(fā)布了廣受期待的安全更新，解決了在IE瀏覽器中被網(wǎng)絡(luò)罪犯?jìng)冎鲃?dòng)盯上的某個(gè)嚴(yán)重的零日漏洞。

安全更新修補(bǔ)了五個(gè)漏洞，所有這些漏洞都可被遠(yuǎn)程利用。其影響IE 6到IE9的用戶。對(duì)于運(yùn)行在Windows XP、Vista和Windows 7系統(tǒng)上受影響版本的IE瀏覽器來(lái)說(shuō)該更新文件被評(píng)級(jí)為“嚴(yán)重”；對(duì)于運(yùn)行在Windows Server 2008系統(tǒng)上的IE瀏覽器來(lái)說(shuō)其被評(píng)級(jí)為“中等”。

“如果用戶使用IE瀏覽器查看了某個(gè)特別構(gòu)造的web頁(yè)面，這些最為嚴(yán)重的漏洞可能允許遠(yuǎn)程代碼執(zhí)行”，微軟在其安全公告中表示。“成功利用任意這些漏洞的攻擊者可能獲得與當(dāng)前用戶一樣的用戶權(quán)限”。

微軟花了不到一周時(shí)間來(lái)解決該零日漏洞，這個(gè)漏洞在周一被某個(gè)安全研究人員偵測(cè)到。Metasploit滲透測(cè)試平臺(tái)添加了對(duì)應(yīng)的模塊，并且POC代碼被快速地傳播。截至星期二微軟已經(jīng)確認(rèn)該零日缺陷，并且表示它偵測(cè)到以該漏洞為目標(biāo)的有限的攻擊活動(dòng)。

MS12-063安全公告解決了IE瀏覽器中處理內(nèi)存中已刪除的對(duì)象方式的錯(cuò)誤。該編碼錯(cuò)誤造成內(nèi)存數(shù)據(jù)損壞，可能被網(wǎng)絡(luò)罪犯利用來(lái)執(zhí)行惡意代碼并且傳播惡意軟件。微軟表示攻擊的場(chǎng)景涉及引誘受害人訪問(wèn)某個(gè)惡意web站點(diǎn)，該站點(diǎn)的web頁(yè)面包含的惡意代碼嵌入在廣告、或是用戶產(chǎn)生的內(nèi)容中。

偵測(cè)到該缺陷的安全研究人員Eric Romang將其與Nitro網(wǎng)絡(luò)黑幫聯(lián)系起來(lái)，這是一個(gè)頻繁地利用各種漏洞的網(wǎng)絡(luò)犯罪團(tuán)體，包括在針對(duì)性攻擊中利用最近的Java零日漏洞。
 
IE零日漏洞瞄準(zhǔn)工業(yè)公司

位于捷克共和國(guó)的防病毒軟件廠商AVAST表示，它偵測(cè)到該最新的IE缺陷與各種各樣的其它漏洞結(jié)合利用。網(wǎng)絡(luò)攻擊活動(dòng)由搭建包含該漏洞的惡意web站點(diǎn)所構(gòu)成。這些攻擊利用合法的web站點(diǎn)——大部分屬于工業(yè)制造商——這些站點(diǎn)包含的缺陷能讓攻擊者在其中嵌入惡意的代碼。

AVAST表示該IE漏洞伴隨著利用Adobe Flash中的某個(gè)漏洞，攜帶有由遠(yuǎn)程訪問(wèn)工具構(gòu)成的負(fù)載數(shù)據(jù)。在攻擊web站點(diǎn)上也偵測(cè)到某個(gè)Java漏洞。AVAST表示這些web站點(diǎn)可能已經(jīng)感染Poison Ivy病毒，一個(gè)用于竊取憑證并傳播惡意軟件有效的、自動(dòng)化的攻擊工具套裝。

“將這三個(gè)漏洞進(jìn)行組合，攻擊者已經(jīng)覆蓋了許多用戶。因?yàn)樵谟脩舻挠?jì)算機(jī)上至少一個(gè)應(yīng)用未打補(bǔ)丁的可能性很高”，AVAST病毒實(shí)驗(yàn)室的主管Jind?ich Kubec寫到。“我們能推斷出其可能與Nitro幫派有關(guān)，它們發(fā)送攜有隱藏RAT工具的、具有針對(duì)性的電子郵件到此類公司，以便從目標(biāo)系統(tǒng)提取數(shù)據(jù)——因此工業(yè)間諜活動(dòng)是此類攻擊的可疑動(dòng)機(jī)”。

位于加利福尼亞州圣馬特奧的Alienvault公司的研究人員表示，他們對(duì)攻擊者使用的IP地址進(jìn)行追溯，發(fā)現(xiàn)其注冊(cè)的偽造域名與美國(guó)和英國(guó)國(guó)防部承包商、航空業(yè)以及武器配件制造商和供應(yīng)商相關(guān)。“我們還發(fā)現(xiàn)假冒域名所屬的公司生產(chǎn)渦輪機(jī)和電源，用于包括公共事業(yè)和電廠的好幾種設(shè)備”，Alienvaul公司研究實(shí)驗(yàn)室經(jīng)理Jamie Blasco寫到。