14. september 2012 var Eric Romang ved at undersøge en malware server for Java exploits. Men ved den lejlighed opdagede han at den var udstyret til at levere et helt nyt exploit der ikke har været kendt før. Exploitet retter sig mod Internet Explorer version 6, 7, 8 og 9. Ved besøg på en webside der udnytter sårbarheden kan der af angriberen afvikles kode, som så typisk installerer mere malware. Metasploit har 17. september 2012 udsendt et modul der udnytter sårbarheden. Herfra må man forvente at sårbarheden bliver indbygget i diverse crimeware kits osv.  Lige nu er angrebet kun set i begrænset omfang,  men det kan ændre sig i løbet af få dage.

Microsoft har udsendt et advisory hvor de bekræfter eksistensen af sårbarheden. Indtil videre lister Microsoft de generelle ting man måske kan gøre når man står over for et alvorligt Internet Explorer exploit der ikke er en rettelse til. Man kan deaktiver scripting. Ja, men hvad virker så ?  Man kan installere EMET toolkit der giver ekstra beskyttelse. Det er software lidt over i det nørdagtige med "begrænset dokumentation i det engelske sprog". 

En oplagt løsning - hvor det er muligt - er at benytte en anden browser end Internet Explorer indtil problemet er løst. Alternativt kan man bruge en websikkerhedsservice som Zscaler, der netop har frigivet deres Security Advisory, om hvilke tiltag de har foretaget for at beskytte deres kunder .

Mens uret nu tæller mod at det eneste der løser problemet rigtigt - en rettelse fra Microsoft - dukker op, så er der et par lyspunkter. Microsoft har udsendt informationer gennem MAPP netværket og den offentlige information gennem Metasploit kan osse bruges af "the good guys", så man må forvente at der i forskellige sikkerhedsprodukter vil komme beskyttelse mod den kendte kode, der udnytter sårbarheden. Den endelige rettelse med en opdatering fra Microsoft er der endnu ikke noget estimat på hvornår vi vil se.

OPDATERING 19.9.2012 07:36 : Microsoft har 18.9. annonceret at de udgiver en Fix-it der beskytter mod problemet "i løbet af få dage".

12. juni 2012 - altså samme dag som juni opdateringen - udsendte Microsoft et Security Advisory om en nyopdaget sårbarhed i versioner af XML Core Services, der kan give remote kodeafvikling. XML Core Services i de sårbare versioner installeres bl.a. af Office 2003 og 2007 og angrebet kan ske fra f.eks. en ondsindet webside gennem Internet Explorer.

Sårbarheden er til dels opdaget af Google der fandt den i "stats-sponsorerede" angreb på gmail brugere, men angrebskode har nu fundet vej til Metasploit så risikoen er bred. Microsoft har udsendt en fix-it patch man kan køre som en workaround der blokerer angrebsvektoren indtil en opdatering med en endelig rettelse udkommer.

Zscaler Websikkerhed, har udsendt Security Advisory, hvor de beskriver hvordan de beskytter kunder der bruger deres service, du kan hente Zscaler security Advisory - June,12, 2012 her i PDF

Se nærmere om sårbarheden og link til Fix-it her

Adobe har 6. december 2012 udsendt et advisory om en ny sårbarhed (CVE-2011-2462) i Adobe Reader og Acrobat til Windows og Mac. Sårbarheden kan crashe og i nogle versioner kompromittere PC'en fuldstændig.  Sidstnævnte er blevet udnyttet i målrettede angreb mod Adobe Reader 9.x mod Windows.

Sårbarheden findes både i Adobe Reader X (10.1.1) og version 9.x af Adobe Reader, men den ekstra sikkerhed i Adobe Reader X betyder at angrebskoden ikke kan afvikles.  For Adobe Reader version 9.x vil Adobe udsende en hasteopdatering senest i ugen 12-17 december 2011, Adobe Reader X får en rettelse af den bagvedliggende fejl i den ordinære opdatering i januar 2012.

Bruger man stadig Adobe Reader 9.x versionen er der altså god grund til nu at skifte til Adobe Reader X.

http://www.adobe.com/support/security/advisories/apsa11-04.html

Zscaler's Web sikkerheds løsning, vil blokere for download hvis man forsøger at hente en Adobe PDF fil med denne type angreb fra nettet.

Adobe har 15. april 2011 udsendt en opdatering til Flash. Der retter en sårbarhed der blev udnyttet i målrettede angeb med Excel og Word filer indeholdende en ondsindet flash video. Samtidigt er Adobe AIR og Google Chrome opdateret mod sårbarheden. Nye versioner man skal opdatere til er:

Flash 10.2.159.1

Adobe AIR 2.6.19.140

Chrome 10.0.648.205

http://www.adobe.com/support/security/bulletins/apsb11-07.html

Du kan checke din browser mod sårbarheder på  https://browsercheck.qualys.com/

Adobe har udsendt Acrobat Reader og Acrobat 9.4.1, der er tale om en hasteopdatering der lukker flere kritiske sårbarheder :

- CVE-2010-3654 : authplay.dll sårbarheden der udnyttes aktivt på Internettet og er rettet i Flash tidligere

- CVE-2010-4091 : 0-day memory corruption sårbarhed med exploit offentliggjort 11. november

Det anbefales at sørge for opdatering til version 9.4.1 hvor Adobe Reader eller Acrobat benyttes.

http://www.adobe.com/support/security/bulletins/apsb10-28.html

Adobe har 8. september 2010 udsendt et advisory, hvor de bekræfter at der er et nyt 0-day exploit mod Acrobat Reader og Acrobat i omløb. Gennem en ondsindet PDF fil kan der udføres remote kodeafvikling.

Angrebene sker bl.a. gennem en mail med "Golf Clinic.PDF" vedhæftet. Det exploit der er indbygget i denne PDF er i stand til at passere forbi DEP beskyttelsen i Windows Vista og Windows 7 - og installere et program der er digitalt signeret med en nøgle, som er stjålet fra en finansiel virksomhed i USA.

Den tid hvor det var sikkert at modtage PDF frem for tekstbehandlingsdokumenter er forbi - især hvis de læses med Adobe Reader !

http://www.adobe.com/support/security/advisories/apsa10-02.html

Hvordan sikrer man sig mod Zero-day exploits?
Zscaler, som er en af eSec's samarbejdspartnere omkring web- og email sikkerhed, udsendte fredag et Security Advisory som du kan se her, og som beskriver at Zscaler's SaaS web sikkerhedsløsning, beskytter mod den nævnte Adobe sårbarhed.  eSec tilbyder 30 dages gratis trial på Zscaler SaaS web- og email sikkerhed, kontakt mig på os@esec.dk eller 7020 5585, det tager kun få minutter at sætte op.