Sikkerhetsselskapet Trend Micro melder om at kriminelle er i full gang med å utnytte en kritisk sårbarhet som finnes i Internet Explorer 7. Sårbarheten ble kjent i forbindelse med at Microsoft utga en sikkerhetsfiks som fjerner den for en drøy uke siden.
Problemet er at mange Windows-brukere av ulike årsaker ikke installerer sikkerhetsfikser så snart de blir tilgjengelige.
Den aktuelle sårbarheten åpner for at angripere kan fjernkjøre vilkårlig kode på det sårbare systemet.
Foreløpig ser det ut til at det kun dreier seg om rettede angrep i liten skala. Ifølge Trend Micro innledes angrepene med masseutsendelser via e-post av en .DOC-fil som egentlig er trojaneren XML_DLOADR.A. Det virkelige angrepet settes først i gang dersom mottakerne av det tilsynelatende ufarlige Word-dokumentet faktisk åpner dette.
Filen inneholder et ActiveX-objekt som automatisk forsøker å oppnå tilgang til et nettsted som inneholder et spesielt utformet HTML-dokument med et skript som utnytter den nevnte sårbarheten i Internet Explorer 7 til å laste ned en bakdør til systemet som kalles BKDR_AGENT.XZMS.
Denne bakdøren installerer på sin side en .DLL-fil som tilbyr funksjonalitet som bidrar til stjeling av informasjon. Denne informasjonen sendes til en annen URL via port 443.
Ifølge Trend Micro skal BKDR_AGENT.XZMS også ta skjermdumper av de infiserte systemet og sende disse til angripernes server. Det ondsinnede programmet åpner også et skjult IE-vindu som er knyttet til et nettsted for å lytte etter kommandoer.
Det virker ikke som om angrepet avhenger av at brukeren faktisk benytter Internet Explorer 7 til daglig. Det holder trolig at en ikke-oppdatert utgave av nettleseren finnes på systemet.
Les også:
- [25.02.2009] Kriminelle utnytter nyoppdaget hull i Excel
- [11.02.2009] Kritiske sikkerhetsfikser til Exchange og IE