https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

IE8零時差漏洞 水坑式攻擊再添受害案例

2013 / 05 / 13
編輯部
IE8零時差漏洞  水坑式攻擊再添受害案例

近1年來,愈來愈多APT攻擊採用水坑式攻擊(watering hole)手法,日前,資安廠商發現,駭客利用微軟IE8的零時差漏洞CVE-2013-1347進行水坑式攻擊,主要鎖定部分美國政府部門的員工。

5月初,美國勞工部官方網站和美國能源局SEM (Site Exposure Matrices)網站相繼遭駭客攻破,且均是利用此IE8漏洞,根據科技政府資訊網Nextgov說明,SEM網站主要是在研究與發展核武有關的疾病。資安廠商AlienVault表示,駭客在網站伺服器後植入特洛伊木馬程式Poison Ivy,再利用偷渡式下載(drive-by download)方式,一旦使用者造訪該網頁,電腦就會自動下載並安裝Poison Ivy木馬。

Poison Ivy過去曾被用在多起網路攻擊中,主要目的是竊取資料,不過美國勞工部與能源局現階段還未確認是否有任何資料遭竊。此外,Poison Ivy和中國駭客組織DeepPanda有關,因此資安廠商也將本次攻擊事件的矛頭指向DeepPanda。

由於美國外交關係協會(Council on Foreign Relations,CFR)於2012年年底曾遭受類似攻擊,因此被認為可能是同一批人所為。駭客當時是利用另一個IE漏洞進行水坑式攻擊,當使用者造訪已被入侵的CFR網站,其電腦就會遭受感染,而該起攻擊也迫使微軟在今年1/14發出IE緊急更新。

微軟於5/3證實CVE-2013-1347漏洞的存在,並強調該漏洞僅存在於IE 8,其他IE版本均不受影響,並於5/8釋出暫時修補工具CVE-2013-1347 MSHTML Shim Workaround,同時將在下周的例行性安全更新中,針對Windows和IE釋出10個安全更新,其中2個被列為重大(Critical)等級,8個屬於重要(Important)等級,將修補包含CCVE-2013-1347等的34個漏洞。

IE8是目前微軟五個支援的瀏覽器(IE6到IE10)中使用最普遍的。根據Net Applications最新的瀏覽器市占率分析,IE使用率占整體的55%,其中超過4成的IE用戶都是使用IE8,相當於占整體的23%,因此IE8漏洞問題影響相當大。微軟可信賴運算部門經理Dustin Childs指出,使用者只要造訪被入侵的網頁,攻擊者就可以透過此漏洞在其電腦上安裝惡意程式,因此他呼籲IE 8用戶應該盡快下載其暫時修補工具。