开源的Metasploit渗透测试工具集成了一个漏洞,该漏洞会影响所有版本的ie浏览器,但微软尚未修复,此举可能会引发越来越多针对该漏洞的攻击。
该漏洞被称为CVE-2013-3893和是微软在9月17日宣布的在该公司意识到它被用于有针对性的攻击之后。该公司发布了一个临时的“修复它”工具用户可以下载并安装补丁来解决这个缺陷,但目前还没有通过Windows Update发布永久性补丁。
该漏洞影响到所有版本的IE浏览器,当IE用户访问恶意网站或受损害网站上的特别制作的网页时,该漏洞可被利用来执行计算机上的任意代码。
安全研究人员对正在进行的攻击活动发出了警告一直在利用这一弱点攻击日本和台湾的目标组织据一些报道称,自8月底甚至7月以来。
据介绍,自8月29日首次检测到该漏洞的漏洞是一种名为“Operation DeputyDog”的攻击的一部分以来,至少有两个APT(高级持续威胁)小组采用了该漏洞,并用于有针对性的攻击一份新的报告来自安全公司FireEye的研究人员。
周一,利用开发人员和Metasploit贡献者Wei Chen发布了一个CVE-2013-3893漏洞模块适用于流行的渗透测试工具。陈指出,该模块是基于攻击者已经在使用的攻击代码。
Metasploit中包含该漏洞意义重大,因为虽然该工具主要针对安全专业人士,但网络犯罪分子已经养成了从该工具中借用漏洞并将其用于自己的攻击的习惯。
“只要网络罪犯获得利用代码公开我们将看到的实例利用被定期使用网络罪犯,可能我们会发现一些最著名的的利用开发工具,“Jaime Blasco说,研究小组在安全公司AlienVault经理周六通过电子邮件。“我敢肯定,如果Metasploit包括这一漏洞,我们将看到广泛利用的增加。”
Blasco所指的漏洞工具包是像黑洞(Black Hole)这样的商业犯罪软件工具,大量网络犯罪分子可以使用这些工具,它们通常被用于比APT活动范围更广的攻击。
Metasploit工程经理Tod Beardsley周二在电子邮件中表示,很有可能该漏洞已经被用作此类漏洞工具包的一部分。新Metasploit模块中使用的漏洞来自现有的攻击,它与此类工具中已知的以前的漏洞有相似之处。
比尔兹利说,特别值得一提的是,该漏洞包含没有实际使用过的系统指纹代码,这表明最初的作者至少对漏洞包中之前发现的漏洞很熟悉。
据陈说,至少从2012年开始,垃圾指纹代码似乎就在各种各样的攻击中被重复使用。
微软的下一批安全更新定于10月8日,但目前还不清楚该公司是否会在那个时候针对这个特定的漏洞发布永久补丁。
比尔兹利希望如此。他说:“修复是有效的,所以我希望它能直接正确地修补。”