Credit: CC0公共域2021年3月9日,微软在其浏览器Internet Explorer中修补了一个与内存损坏相关的零日安全漏洞。此漏洞被标记为CVE-2021-26411,使得攻击者能够欺骗用户访问Internet Explorer上托管的特制恶意网站。此外,攻击者可以通过在允许用户托管内容的网页上发布恶意广告来危害现有网站。虽然攻击者首先必须使用电子邮件或即时消息来说服用户参与这些广告和网站,以损害受害者,但来自潜在的整个互联网的恶意行为者可能会利用这一漏洞。
因为该漏洞存在于网络堆栈上,所以该CVE被限定为可远程执行。此外,攻击者不需要任何特殊的升级权限来利用该漏洞。一旦攻击被证明是成功的,攻击者就可能修改任何被访问的文件和其他用户信息,从而使用户的内容完整性面临巨大风险。
也许最有趣的是,本案中的黑客花了数周时间建立信任,特别是将安全研究作为他们的目标。自从发现以来,研究人员已经追踪到了朝鲜的袭击。攻击者通过一个原始的研究博客联系研究人员,建立了一种工作联系,并创建了推特角色来请求在一个项目上进行合作。假的社交媒体简介会促使研究人员访问一个网页。从那里,即使是一台打了完整补丁的Windows 10机器,最终也会安装恶意服务和内存后门,与攻击者控制的服务器进行通信。
谷歌将此次攻击归咎于朝鲜政府,特别是一个名为锌的威胁组织,该组织与更知名的拉扎勒斯有关联。与2017年毁灭性的勒索活动WannaCry有关,拉扎勒斯据称因朝鲜的大规模杀伤性武器计划而被列入20亿美元的名单。
除了Internet Explorer之外,该漏洞还影响了微软更安全的浏览器Edge。此外,研究人员最终发现,攻击者利用恶意网站,通过欺诈性的Visual Studio Proje补充了他们的漏洞攻击,该项目显然包含概念验证漏洞的源代码。这个所谓的项目实际上包含了联系黑客控制服务器的定制恶意软件。
到目前为止,供应商已经发布了针对此漏洞的官方修复和升级。希望立即更新的微软用户可以在他们的系统上访问开始>设置>更新和安全>窗口更新。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
