Microsoft 在其瀏覽器 Internet Explorer 中修復了一個與內(nèi)存損壞有關(guān)的零日安全漏洞。

標記為 CVE-2021-26411 的此漏洞使攻擊者能夠欺騙用戶訪問 Internet Explorer 上托管的特制惡意網(wǎng)站。此外，攻擊者可能會在允許用戶托管內(nèi)容的網(wǎng)頁上發(fā)布惡意廣告，從而破壞現(xiàn)有網(wǎng)站。盡管攻擊者首先必須使用電子郵件或即時消息誘使用戶參與這些廣告和網(wǎng)站以危害受害者，但潛在的整個 Internet 的惡意行為者都可以利用此漏洞。

該漏洞使用戶的內(nèi)容完整性面臨嚴重威脅

由于該漏洞存在于網(wǎng)絡(luò)堆棧中，因此該 CVE 可以作為遠程可執(zhí)行文件使用。此外，攻擊者無需任何特殊的升級特權(quán)即可利用此漏洞。一旦證明攻擊成功，攻擊者便有可能修改任何訪問的文件和其他用戶信息，從而使用戶的內(nèi)容完整性面臨重大風險。

也許最有趣的是，在這種情況下，黑客花費了數(shù)周的時間專門建立了以安全性研究為目標的信任。自發(fā)現(xiàn)以來，研究人員已將這次襲擊追溯到朝鮮。攻擊者通過原始的研究博客與研究人員聯(lián)系，建立了有效的聯(lián)系，并創(chuàng)建了Twitter角色以請求進行項目合作。虛假的社交媒體資料將提示研究人員訪問網(wǎng)頁。從那里，即使是完全修補的 Windows 10 計算機也最終會安裝惡意服務(wù)和內(nèi)存后門，以與攻擊者控制的服務(wù)器進行通信。

除了 Internet Explorer 之外，這個漏洞還影響了微軟更安全的瀏覽器 Edge。此外，研究人員最終發(fā)現(xiàn)，攻擊者利用一個欺詐性的 Visual Studio Project 網(wǎng)站來補充他們的“水坑”攻擊，該網(wǎng)站顯然包含一個概念驗證漏洞的源代碼。這個所謂的項目實際上包含了定制的惡意軟件，這些惡意軟件與黑客的控制服務(wù)器取得了聯(lián)系。

截至目前，Microsoft 已發(fā)布針對此漏洞的官方修補程序和升級。那些需要立即更新的Microsoft用戶可以在其系統(tǒng)上訪問“開始”>“設(shè)置”>“更新和安全性”>“ Windows Update”。