TigerTeam - suomalainen tietoturvablogi

Internet Explorer 7 -selaimen haavoittuvuutta hyödyntävissä verkkohyökkäyksissä on käytetty hyökkäysvektorina XML-muotoista Word-asiakirjaa.

Hyökkäyksessä käyttäjälle lähetetään Microsoft Word -muotoinen asiakirja, joka sisältää upotetun ActiveX-kontrollin. Kyseinen ActiveX-kontrolli ottaa yhteyden verkkosivulle, josta varsinainen hyökkäyskoodi ladataan. Mikäli hyökkäys onnistuu lähettää työasemaan tarttunut takaporttitroijalainen tietonsa verkon yli hyökkääjän käyttöön.

Virustorjujien antamat nimet verkkosivuilla esiintyvälle exploit-koodille ovat mm. Mal/JSShell-B- ja W32/Agent.JLA-muotoisia. Word-dokumentti puolestaan tunnistetaan esim. Exploit-MSWord.k-nimellä. Vihamieliseltä verkkosivuilta latautuu työasemaan tiedosto jc.html.

Haavoittuvuutta on viime päivinä käytetty ns. kohdistetuissa eli kohdennetuissa hyökkäyksissä.

Kohdistettujen hyökkäyksien havaitseminen on haasteellista, koska tyypillisesti kohteina on korkeintaan muutama henkilö organisaatiosta. Hyökkäykset ovat myös hyvin valmisteltuja ja hienostuneita ja kohdehenkilöstä ja -organisaatiosta on yleensä hankittu runsaasti tietoja etukäteen. Myös asiakirjoissa käytetyt liitetiedostojen nimet ja asiakirjojen aiheet liittyvät yleensä kohdehenkilön työnkuvaan.

IE:n haavoittuvuus korjattiin viime viikolla Microsoftin kuluvan kuun kuukausipäivityksissä MS09-002-tunnuksella. Sen CVE-tunnus on CVE-2009-0075 ja CVSS-arvo 8.5. Teknisesti hyväksikäyttötilanteessa muisti korruptoituu CFunctionPointer-objektin käsittelyssä. Windows-versioista turva-aukko koskee mm. yleisimpiä työasemaversioita XP SP3 ja Vista SP1.

Ohjelmistohaavoittuvuuksia luokittelevassa CWE-luokituksessa se lukeutuu luokkaan CWE-399 eli Resource Management Error.