Microsoft предупредила об уязвимости в системе безопасности старых версий Internet Explorer, которая использовалась для организации целенаправленных атак, в ходе которых работникам организаций направлялись письма с ссылками на содержащие вредоносный код веб-узлы.

Джерри Брайант, руководитель группы Response Communications в Microsoft, сообщил изданию CNET, что вредоносный код был удален с веб-сайта, на котором он размещался. Он отказался назвать сайт и компании, или хотя бы типы компаний, на которые были направлены атаки.

Вредоносный код был написан для Internet Explorer 6 и 7, но IE8 также оказался уязвим, сказал он. IE9 Beta не уязвима, так же как и IE8, если опция Data Execution Prevention включена. Microsoft выпустила рекомендации по безопасности, в которых рекомендуется включить DEP, чтение электронной почты в формате обычного текста и установить параметры безопасности зоны интрасети на "высокий" уровень, чтобы заблокировать элементы управления ActiveX и Active Scripting. Microsoft также планирует выпустить инструмент Fix-it, который облегчит выполнение этих операций. Брайант не сообщил, когда Microsoft собирается выпустить исправление для данной уязвимости.

Брайант сказал, что Microsoft была проинформирована партнерами об этой проблеме в пятницу.

Исследователи Symantec опубликовали сегодня в блоге описание писем, которые хакеры посылали "избранной группе лиц в атакуемых организациях". Электронное письмо включало ссылку на конкретную страницу, размещенную на веб-узле, расположенном в США, сообщил CNET Дин Тернер, директор глобальной разведывательной сети Symantec.

Ссылка вела на страницу со скриптом, определявшим версию браузера и операционной системы. Если пользвоатель использовал IE6 или IE7, то компьютер подвергался атаке, в противном случае происходило перенаправление на пустую страницу. Уязвимость позволяла незаметно для конечного пользователя запустить любой удаленный код и открыть "черный вход" на компьютере, который затем соединялся с удаленным сервером в Польше.

Тернер сказал, что они не смогли определить, сколько компьютеров было заражено, или на какие компании были направлены атаки. Symantec опубликовал скриншот одного из сообщений электронной почты, в котором сообщалось о бронировании номера в отеле.

"Мы действительно не знаем, какие были намерения у злоумышленников, за тем исключением, что они получали полный доступ к системе", - сказал Тенер.

Оба узла - сайт в США и польский сервер - удалили вредоносные программы и сотрудничают со следствием.

Как только машины были взломаны, вредоносный код пытался запустить службу "NetWare Workstation" и загрузить зашифрованные .gif-файлы, в которых содержались дальнейшие инструкции для трояна. Исследователи Symantec смогли перехватить команды, которые, вероятно, вводились злоумышленником вручную. В Symantec новую углозу назвали "Backdoor.Pirpi".

"Из файлов журнала с этого сервера мы знаем, что автор вредоносного кода был нацелен больше, чем на несколько организаций," - сообщили в Symantec. "Файлы на этом сервере были доступны людям во многих организациях в различных отраслях промышленности по всему миру. Лишь немногие из них открыли зараженные файлы, что значит, что большинство пользователей используют браузер, который не был уязвимым".