Softwaresikkerhedsfirmaer advarer mod en ny version af 'IcePack hacker exploit tool kit'.
Det er første gang, hacker-værktøjet indeholder zero-day-programkode, der er koder beregnet til at angribe sikkerhedshuller, som software-leverandøren endnu ikke selv har fået lukket med sikkerhedsopdateringer.
Af IcePacks otte exploit-værktøjer er tre nye, siger Roger Thompson, teknologichef hos Exploit Prevention Labs Inc.
"Det er bemærkelsesværdigt. Blandingen af nye og gamle værktøjer var forventet, men det er imponerende med hele tre nye," siger han.
"Den seneste version indeholder noget helt originalt.", siger Roger Thompson og henviser til en zero-day-funktion, der angriber et sikkerhedshul i Microsoft DirectX's software development kit (SDK).
"Det tætteste, der har været til et zero-day-exploit-værktøj, var (ANI) rettet mod sårbarheden ved brug af den animerede cursor."
Microsoft rettede hullet
Roger Thompson henviser til en softwarefejl, der blev kendt i begyndelsen af april. Da Mpack, en forgænger til IcePack, udsendte sin ANI exploit-kode, havde Microsoft lappet hullet med en udsendelse af out-of-cycle-opdateringen.
Sikkerhedsproblemet i DirectX SDK bug blev offentliggjort af polakken Krystian Kloskowski i en meddelelse på milwOrm.com-sitet midt i august.
Microsoft udsendte ingen sikkerhedsopdatering vedrørende fejlen i selskabets seneste rutinemæssige opdatering, der kom i tirsdags.
Mange i omløb
IcePacks programkode er et blandt mange klik-aktiverede malware-værktøjer i omløb.
´
IcePack, der stammer fra det tidligere Mpack, arbejder sammen med navne som NeoSploit og WebAttacker, der leverer kodestumper til det, som Roger Thompson betegner som 'dovne slyngler'.
Han anslår, at der for tiden er 12 malware-tool-kits i brug.
"De bruger næsten ensartet kode, og de prøver alle sammen at tjene en skilling på at sælge til de 'dovne slyngler'." siger Roger Thompson.
Ikke verdens ende
Selv om IcePack netop har udsendt den første zero-day angrebskode, nedtoner Roger Thompson dog truslen.
"Det er ikke verdens ende, da der ikke er ret mange, der har Windows DirectX software devolpment kit. Men der er ingen der ved, hvor mange andre programmer, der bruger den sårbare ActiveX-kontrol. Det lidt ligesom russisk roulette".
Andre i branchen bekræfter Thompsons antagelser.
Symantec har advaret sine kunder på sit DeepSight threat netvæk om, at der er observeret forsøg på angreb via DirectX-sikkerhedshullet.
Symantec advarer også om to andre funktioner i IcePacks malware-kit, der angriber svagheder i Yahoo Messenger og Yahoo Widgets. Begge fejl er dog blevet udbedret.
"At udnytte svagheder, der er kendt via softwarefirmaernes sikkerhedsopdateringer. er et normalt træk i multi-strikes kits, selvom det virker uopfindsomt" siger Roger Thompson. "Normalt går de efter mindre kendte svagheder og sikkerhedsbrister. De vil bare ryste et par æbler ned. Nok til at tjene penge - og ikke brække hele grenen af".
Oversat af Bo Madsen
