黑客正在積極利用一種新發(fā)現(xiàn)的針對Internet Explorer 10瀏覽器的零日漏洞。美國對外戰(zhàn)爭退伍軍人(U.S. Veterans of Foreign Wars，縮寫為VFW)網(wǎng)站遭到的水坑攻擊(Water hole attack)用到此漏洞。

此次對VFW的攻擊行動是FireEye公司的安全研究人員發(fā)現(xiàn)的，取名為“雪人行動”(Operation Snowman)。雪人行動的操作與DeputyDog和Operation Ephemeral Hydra類似，做法是利用零日漏洞提送遠(yuǎn)程訪問木馬，出擊重要戰(zhàn)略目標(biāo)。

據(jù)FireEye的研究人員介紹，雪人行動用到的零日漏洞攻擊(CVE-2014-0322)為一“經(jīng)典偷渡式下載攻擊”(Classic drive-by download attack)，“經(jīng)典偷渡式下載攻擊”一詞是指一種針對瀏覽器的攻擊手段，做法是以欺騙的手法將網(wǎng)站訪問者引向已經(jīng)受到惡意軟件感染的網(wǎng)站。安全公司FireEye稱，攻擊者在VFW的HTML碼里加了一個iframe，用來在后臺加載一個受感染的網(wǎng)頁。該段代碼在IE 10瀏覽器中加載后，會運(yùn)行一個Flash對象，F(xiàn)lash對象然后下載、解碼并執(zhí)行一個經(jīng)XOR編碼過的遠(yuǎn)端服務(wù)器有效載荷。

"此漏洞被發(fā)現(xiàn)后，Malwarebytes公司的研究人員Jerome Segura對攻擊進(jìn)行了測試，成功地在Windows 7系統(tǒng)里的Internet Explorer 10中用Flash Player的最新版本復(fù)制了網(wǎng)頁感染結(jié)果。如Segura指出的，此安全漏洞“利用‘釋放后使用’(Use-after-free)的錯誤，讓攻擊者借助損壞的Adobe Flash文件直接訪問任意地址的內(nèi)存，得以繞過Address Space Layout Randomization(ASLR)和( DEP)”。

不過，如果用戶的IE瀏覽器是其他的版本或是安裝了微軟的緩解體驗工具包(Experience Mitigation Toolkit，縮寫為EMET)，這個漏洞就不會有影響。

“雪人攻擊瞄著的可能目標(biāo)是軍事性部門，以竊取軍事情報，”FireEye的研究人員說。“除了退役人員以外，現(xiàn)役軍人也使用VFW網(wǎng)站。2月17日星期一是美國的假日，而且，由于嚴(yán)重冬季風(fēng)暴許多美國國會大廈星期四關(guān)門，攻擊的出現(xiàn)可能不是個巧合。”

FireEye and Microsoft are currently collaborating as part of an investigation in to the IE 10 flaw and subsequent exploit. The Redmond giant has confirmed the vulnerability, stating:FireEye正與微軟合作研究IE 10的漏洞及相應(yīng)的攻擊。軟件巨頭微軟承認(rèn)存在此漏洞，發(fā)了如下的說明：

“微軟注意到針對IE瀏覽器的攻擊，目前的目標(biāo)是那些使用Internet Explorer 10的客戶。我們正在研究對策。我們將采取相應(yīng)的措施保護(hù)客戶利益。”

微軟近日發(fā)布了一組針對Internet Explorer各版本的更新補(bǔ)丁后的第三天，有人披露了上述的安全問題。微軟共發(fā)布了7個更新補(bǔ)丁，以修復(fù)32個漏洞，其中IE 10瀏覽器的一項更新修復(fù)15個漏洞。