黑客发现新的IE7、8、9零日漏洞

安全专家称，攻击者正在利用微软IE浏览器中的一个“零日”漏洞来攻击访问恶意或被感染的网站的Windows电脑。

微软称正在调查该漏洞的报告，但还没有确定修复该漏洞的时间表。

安全公司Rapid 7表示，IE7、IE8和IE9中未修复的漏洞可以在Windows XP、Vista和Windows 7中被利用，Rapid 7也负责维护开源Metasploit渗透测试工具包。

Rapid 7要求IE用户暂停使用该浏览器，转而使用其他浏览器。

Rapid 7公司在其Metasploit博客中写道：“由于微软目前还没有发布这个漏洞的补丁，我们强烈建议用户在安全更新发布之前，改用其他浏览器，例如谷歌的Chrome或者Mozilla的Firefox。”

Metasploit贡献者Eric Romang在监测受“Nitro”黑客团伙操作的服务器时，偶然发现了这个IE漏洞，该黑客团伙上个月利用Oracle的Java中的零日漏洞来感染电脑。

Nitro团伙于2011年7月被首次发现，赛门铁克公司表示，该团伙瞄准了数目不详的公司，感染了至少48家企业，其中许多是在化工、高级材料和国防工业行业的公司。

在今年8月的攻击者，该攻击团伙利用了Java中未打补丁的漏洞，迫使Oracle发出紧急安全更新。苹果公司也发布了Java 6的补丁来保护其用户，其OS X Snow Leopard和OS Lion中使用了Java 6.

Windows 8操作系统中的IE 10浏览器是否存在最新的漏洞，或者说攻击者的攻击是否能有效地针对该版本浏览器，我们仍然不清楚。

Rapid 7首先去昂兼Metasploit创造者HD Moore表示，他和他的团队尚未测试Windows 8中的IE 10，不过他们计划尽快进行这个测试。Moore表示：“但我猜它应该可以被利用。”

Moore并不清楚Nitro团伙的责任方，他表示该团伙并不一定来自某个特定国家，还存在其他可能性，“多个团体可能在共享这些零日漏洞，互相传递。”

Moore表示，也有可能托管IE利用代码的Web服务器只是一个倾销地，他指出，监控流氓系统的研究人员发现系统中存储恶意软件。

“也许IE利用漏洞放在该服务器中，因为攻击者已经利用完了，”Moore推测，“隐藏踪迹的方法之一就是，当你做完想做的事情后，让这个利用漏洞广泛分布。”

浏览被该漏洞感染的网站的IE7、IE8和IE9用户将自动被劫持，这种攻击通常被称为“路过式攻击”，即用户无需任何操作，只要访问到恶意网址，就会被攻击。

Rapid 7无法确定该漏洞的时间线，包括何时被发现，以及已经被利用了多久等。

根据微软可信赖计算组主管Yunsun Lee的声明称，该公司将会在调查工作结束后，“采取必要的措施来保护用户利益”。

下一次星期二补丁日是10月9日，距离现在还有三个多星期，但微软可能会在那之前提供一个修复程序。

“我认为这在很大程度上取决于他们在警报发出时所说的话，”nCircle Security公司安全运营总监Andrew Storms在谈到可能出现的紧急修复时说道，“现在，这看起来是一个很大的漏洞，但没有人在谈论如何调整IE的配置设置来缓解问题。”

如果按照微软过去对待零日漏洞的做法，他们将会在这几天发出一个安全公告。

然而，微软一直不愿意发出紧急补丁，上一次发布紧急补丁是在2011年12月，该补丁是过去两年中唯一的带外补丁。

Moore表示，已经发布了Metasploit利用模块用于测试目的，“研究人员四五个小时就做出来了。”

Moore也建议用户停止使用IE浏览器，他表示：“IE在安全方面已经有了明显的改进，但它仍然是最薄弱的缓解。”他还指出，避免使用该浏览器可能还不足够，因为很多应用程序依赖于IE引擎来渲染HTML。

然而，令Moore惊讶的是，同一个Web服务器存在多个零日漏洞。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友