האקרים מנצלים לאחרונה פירצת יום-אפס (פירצת אבטחה אשר אין עדיין טלאי ייעודי לסגירתה) בדפדפן Internet Explorer כחלק מקמפיין דואר אלקטרוני אשר מטרתו למשוך משתמשים ללחוץ על לינק המקושר לאתר הנגוע בקוד עויין, כך פירסמה אתמול (רביעי) חברת Symantec.
הפירצה, אשר פרטים אודותיה פורסמו ב-Advisory של מיקרוסופט (ר' לינק בהמשך) נוגעת לכל גירסאות הדפדפן - 6, 7, ו-8, ללא קשר למערכת ההפעלה עליהן מותקן הדפדפן; גירסה 9, הנמצאת כיום בשלב ה-Public Beta אינה מושפעת, אך יש לזכור כי גירסה זו אינה זמינה כלל ל-Windows XP אלא רק למערכות ההפעלה החלונאיות החדישות יותר - Vista ו-Windows 7.
קוד ניצול (Exploit) אשר מנסה לנצל את הפירצה בכדי לקבל אפשרות לביצוע Code Execution על המחשב אשר ממנו בוצעה הגלישה אל האתר נתגלה על גבי מספר אתרים לגיטימיים, אולם הוסר מהם בימים האחרונים. מן המקרים אשר נתגלו ע"י חברת Symantec עולה כי הודעות דואר אלקטרוני נשלחו אל "קבוצה מסויימת של נמענים"; ההודעות הכילו בקשה לאישור הזמנות לבתי מלון.
גוף הודעת הדואר האלקטרוני הכיל קישור אשר הצביע על כתובת של אתר לגיטימי. באתר הושתל סקריפט אשר מטרתו היתה לבדוק באיזה גירסת מערכת הפעלה ואיזו גירסת דפדפן משתמש הגולש. באם נמצא כי הגולש עושה שימוש ב-Internet Explorer 6 או 7, בוצעה הפניה אוטומטית לדף Download אשר הוריד למחשבם את הקוד העויין ללא ידיעתם; אם אותרה גירסת דפדפן שונה - הופנתה הגלישה אל דף ריק.
מהות הפירצה הינה בכך שהיא מאפשרת הפעלה של כל תוכנית, ללא ידיעת המשתמש. גירסת Internet Explorer 8 הינה פגיעה לפירצה, אולם מרבית הגולשים העושים בה שימוש מוגנים ככל הנראה מן הקוד העויין הספציפי שנתגלה, בשל ההגנה שמספק רכיב בשם DEP אשר קיים במערכות ההפעלה החלונאיות החל מ-Windows XP SP2, ואשר מטרתו למנוע הפעלת קוד בלתי מזוהה על גבי המחשב המארח. רכיב זה מופעל כברירת מחדל החל מ-SP3 של XP.
למרות שאין וודאות כי הפעלת רכיב ה-DEP גם על גבי מחשבים עליהם מותקנות גירסת 6 או 7 של IE, הרי שמומלץ להפעילו עליהם, וזאת על-פי הנחיות המעקף (Workaround) של מיקרוסופט. זאת כאמור מכיוון שטלאי אבטחה (Patch) ייעודי לסגירת הפירצה עדיין לא הופץ ע"י מיקרוסופט.
להערכתנו, מקרה זה מלמד שוב כי ככלל, מומלץ תמיד לעבוד עם גירסאות התוכנה העדכניות והמאובטחות ביותר, אשר באופן מובנה הינן חסינות יותר כנגד תקיפות מן הגירסאות המיושנות.
וספציפית לגבי תחנות עבודה מבוססות Windows XP - מומלץ להתקין את חבילת השירות העדכנית SP3 ואת גירסה 8 של ה-Internet Explorer באופן גורף על כל תחנות העבודה בארגון; כל גירסה נמוכה יותר, הינה פגיעה יותר באופן משמעותי, ומשמשת מטרה קלה לפורצים.
לידיעות המקוריות (אנגלית) -
http://www.scmagazineus.com/new-internet-explorer-bug-found-in-the-wild/article/190108/
http://www.networkworld.com/community/blog/microsoft-warns-new-zero-day-attack-affecting?source=NWWNLE_nlt_daily_pm_2010-11-03
הנחיות מיקרוסופט -
http://www.microsoft.com/technet/security/advisory/2458511.mspx
http://support.microsoft.com/kb/2458511
http://support.microsoft.com/kb/2458511#FixItForMeAlways
http://blogs.technet.com/b/msrc/archive/2010/11/02/microsoft-releases-security-advisory-2458511.aspx