Attacco Zero-Day ad alto profilo di Internet Explorer (CVE-2013-3897)

Websense® Security Labs™ ha rilevato un nuovo exploit zero-day di Internet Explorer (CVE-2013-3897), utilizzato per attacchi a basso volume altamente mirati in Corea, Hong Kong e Stati Uniti, a partire dal 23 agosto 2013. La pubblicazione dei dettagli sulla vulnerabilità (CVE-2013-3897) sono stati condivisi da Microsoft prima dell’annuncio di ieri relativo alla disponibilità della patch. Websense ThreatSeeker® Intelligence Cloud è riuscito a correlare questi attacchi e a creare un profilo delle località geografiche da dove sono partiti gli attacchi e sui settori colpiti. Inoltre, è stato rilevato che gli attacchi mirati che hanno utilizzato l’exploit per CVE-2013-3897 comprendevano anche exploit più vecchi come CVE-2012-4792 per determinati obiettivi.

“I cyber criminali sono in continua evoluzione. Trovano le vulnerabilità zero-day e le utilizzano in attacchi mirati a basso volume e parallelamente sfruttano anche exploit più vecchi già conosciuti. Questo indica che hanno portato avanti un esame approfondito per consegnare payload con buone probabilità di successo. Come per ogni exploit zero-day, gli attacchi iniziano altamente mirati a basso volume e in questo caso non sembrano essere limitati a specifiche aziende, mercati o localizzazioni geografiche. Questo mette in evidenza il bisogno di una sicurezza in tempo reale contro i malware, dal momento che la tecnologia di oggi permette di rilevare gli attacchi zero-day: Websense garantisce la protezione ai propri clienti contro i recenti exploit che sono stati osservati in questi tre anni. Le aziende devono capire che indipendentemente dal settore, se hanno qualcosa di valore devono implementare soluzioni per garantire la massima sicurezza e prevenire il rischio del furto dei dati”, ha dichiarato Elad Sherf, Senior Security Researcher, Websense.

Executive Summary
• Websense ThreatSeeker Intelligence Cloud ha rilevato un nuovo exploit zero-day Internet Explorer (CVE-2013-3897), utilizzato per attacchi a basso volume altamente mirati in Corea, Hong Kong e Stati Uniti, a partire dal 23 agosto 2013.
• I feed della telemetria Websense indicano che gli attacchi che utilizzano questo exploit sono iniziati prima e non a metà settembre, come era stato precedentemente indicato.
• Microsoft ha fornito una patch, disponibile per il download.
• Microsoft ha sfruttato questa occasione per rilasciare una patch per una precedente vulnerabilità di Internet Explorer CVE-2013-3893. La patch per entrambe le vulnerabilità è disponibile a questo link: ms13-080.
• Websense ThreatSeeker Intelligence Cloud ha scoperto che questi attacchi colpiscono principalmente il settore finanziario e l’industria pesante in Giappone e Corea.
• I feed della telemetria di Websense dimostrano che i cyber criminali utilizzano la propria infrastruttura per lanciare exploit più vecchi di Internet Explorer, come CVE-2012-4792, che è stato rilevato all’inizio del 2013.
• Websense ha protetto i propri clienti contro i nuovi exploit Microsoft Internet Explorer CVE-2013-3897 e CVE-2013-3893 grazie ad analytics in tempo reale, che vengono utilizzate da quasi tre anni.

Dettagli della vulnerabilità CVE-2013-3897
La vulnerabilità è causata da un errore ‘use-after-free’ durante l’elaborazione degli oggetti ‘CDisplayPointer’ all’interno di mshtml.dll e genericamente avviato dal gestore dell’evento ‘onpropertychange’; la vulnerabilità può essere sfruttata da remoto dai cyber criminali per compromettere un sistema attraverso una pagina Web malevola. L’exploit analizzato utilizza un heap-spray per allocare una parte della memoria, sfruttando una tecnica ROP relativa all’indirizzo 0x14141414 (come è stato confermato da Microsoft Security Response Center).

Un esempio di una di queste pagine di exploit mostra un codice Javascript che sembra rimandare a Microsoft Windows XP 32-bit in queste lingue: giapponese o coreano e Internet Explorer 8.

Gli attacchi sono stati realizzati cercando direttamente gli indirizzi IP che sono stati individuati in un network range di 1.234.31.x/24, localizzato nella Repubblica di Corea. Le pagine esca dell’attacco (punto di partenza della catena dell’exploit) su quel network range condividono gli stessi URL pattern e la stessa struttura /mii/guy2.html.

Inoltre, Websense ha scoperto che un URL con la medesima struttura sullo stesso network range è stata utilizzata per realizzare un exploit più vecchio per Internet Explorer CVE-2012-4792 a basso volume ma mirato.

Questi attacchi sono stati lanciati alla fine di agosto. Di seguito una porzione della pagina situata a hxxp://1.234.31.142/mii/guy2.html. Nel caso di CVE-2012-4792 in questa campagna sembra che non ci fossero controlli per sistema operativo, browser e lingua prima di eseguire l’exploit, ciò significa che è stato lanciato in modo incondizionato.

Feed della telemetria
Osservando un quadro più ampio e considerando tutti i relativi attacchi che Websense ha riscontrato come provenienti dal range 1.234.31.x/24, si ottengono alcune informazioni interessanti che mettono in luce l’agenda di alto livello dei criminali informatici in questa campagna. Il prossimo grafico mostra i differenti settori che Websense ha visto essere stati colpiti da questa campagna nel corso dell’ultimo mese. Il grafico rivela che l’interesse dei criminali informatici in questo caso è ampio rispetto all’obiettivo di compromettere diverse tipologie di industrie, che non sono necessariamente correlate le une alle altre.

Un altro interessante risultato è che questa campagna è mondiale, sebbene, come descritto precedentemente, le pagine dell’attacco verificano se la lingua del sistema operativo sia giapponese o coreano prima di lanciare l’exploit CVE-2013-3897. Sembra che la geolocalizzazione delle entità colpite non sia limitata all’origine coreana o giapponese e basata solo in questi Paesi. Per esempio, un’entità che appartiene al settore dell’Ingegneria e delle Costruzioni è stato colpito negli Stati Uniti, come una delle proprie sedi. Inoltre, come citato prima, coloro che utilizzano CVE-2012-4792 non effettuavano nessun controllo prima di lanciare l’exploit, in questo modo i potenziali bersagli potevano essere più diversificati. Websense ha scoperto che anche un ente governativo, situato negli Stati Uniti, era stato colpito con CVE-2012-4792. Il prossimo grafico dimostra la diffusione delle diverse località geografiche colpite da questa campagna.

I feed della telemetria di Websense indicano che l’exploit CVE-2013-3897 è stato ospitato sui server a Seoul, Corea del Sud, agli indirizzi 1.234.31.153, 1.234.31.142 e 1.234.31.154. Websense ha riscontrato che questo exploit colpisce i computer situati negli Stati Uniti, Hong Kong e Seoul, Sud Corea.

GUEST POST: silvia.pasero@noesis.net