Sikkerhetsselskapet Trend Micro melder om at kriminelle er i full gang med å utnytte en kritisk sårbarhet som finnes i Internet Explorer 7. Sårbarheten ble kjent i forbindelse med at Microsoft utga en sikkerhetsfiks som fjerner den for en drøy uke siden.
Problemet er at mange Windows-brukere av ulike årsaker ikke installerer sikkerhetsfikser så snart de blir tilgjengelige.
Den aktuelle sårbarheten åpner for at angripere kan fjernkjøre vilkårlig kode på det sårbare systemet.
_logo.svg.png){kind=logo}
Foreløpig ser det ut til at det kun dreier seg om rettede angrep i liten skala. Ifølge Trend Micro innledes angrepene med masseutsendelser via e-post av en .DOC-fil som egentlig er trojaneren XML_DLOADR.A. Det virkelige angrepet settes først i gang dersom mottakerne av det tilsynelatende ufarlige Word-dokumentet faktisk åpner dette.
Filen inneholder et ActiveX-objekt som automatisk forsøker å oppnå tilgang til et nettsted som inneholder et spesielt utformet HTML-dokument med et skript som utnytter den nevnte sårbarheten i Internet Explorer 7 til å laste ned en bakdør til systemet som kalles BKDR_AGENT.XZMS.
Denne bakdøren installerer på sin side en .DLL-fil som tilbyr funksjonalitet som bidrar til stjeling av informasjon. Denne informasjonen sendes til en annen URL via port 443.
Ifølge Trend Micro skal BKDR_AGENT.XZMS også ta skjermdumper av de infiserte systemet og sende disse til angripernes server. Det ondsinnede programmet åpner også et skjult IE-vindu som er knyttet til et nettsted for å lytte etter kommandoer.
Det virker ikke som om angrepet avhenger av at brukeren faktisk benytter Internet Explorer 7 til daglig. Det holder trolig at en ikke-oppdatert utgave av nettleseren finnes på systemet.
Les også:
- [25.02.2009] Kriminelle utnytter nyoppdaget hull i Excel
- [11.02.2009] Kritiske sikkerhetsfikser til Exchange og IE
