Video: IE8 Zero Day (November 2024)
Eind april ontdekten beveiligingsonderzoekers een exploit in Internet Explorer 8 waardoor aanvallers schadelijke code konden uitvoeren op de computer van het slachtoffer. Het meest verontrustende is dat de exploit in het wild is gevonden op een website van het Amerikaanse ministerie van Arbeid (DoL), mogelijk gericht op werknemers met toegang tot nucleair of ander giftig materiaal. Dit weekend bevestigde Microsoft dat de exploit een nieuwe nuldag was in IE 8.
The Exploit
Microsoft heeft vrijdag een beveiligingsadvies uitgebracht waarin het misbruik in Internet Explorer 8 CVE-2013-1347 werd bevestigd, waarbij werd opgemerkt dat versies 6, 7, 9 en 10 onaangetast waren.
"Dit is een beveiligingslek met betrekking tot het uitvoeren van externe code", schreef Microsoft. "Het beveiligingslek bestaat in de manier waarop Internet Explorer toegang krijgt tot een object in het geheugen dat is verwijderd of niet correct is toegewezen. Het beveiligingslek kan het geheugen beschadigen op een manier waardoor een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker in Internet Explorer."
"Een aanvaller kan een speciaal vervaardigde website hosten die is ontworpen om dit beveiligingslek te misbruiken via Internet Explorer en vervolgens een gebruiker kan overtuigen de website te bekijken", schrijft Microsoft. Helaas lijkt dit al te zijn gebeurd.
In het wild
Het misbruik werd eind april voor het eerst opgemerkt door het beveiligingsbedrijf Invincea. Ze merkten op dat de DoL-website bezoekers leek om te leiden naar een andere website waar een variant van de Poison Ivy Trojan op het apparaat van het slachtoffer was geïnstalleerd.
AlienVault Labs schreef dat hoewel de malware een aantal activiteiten uitvoerde, het ook de computer van het slachtoffer scande om te bepalen wat, indien aanwezig, een anit-virus aanwezig was. Volgens AlienVault, de malware gecontroleerd op het heden van onder andere Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure en Kasperky software.
Craig Williams schrijft op de Cisco Blog: "Deze informatie zal waarschijnlijk worden gebruikt om toekomstige aanvallen te vergemakkelijken en te verzekeren."
Hoewel het moeilijk is om te zeggen wat de motivaties zijn achter de DoL-aanval, lijkt de exploit te zijn ingezet met enkele doelen in gedachten. Williams noemde het een "waterpoel" -aanval, waarbij een populaire website wordt aangepast om binnenkomende bezoekers te infecteren - vergelijkbaar met de aanval op ontwikkelaars die we eerder dit jaar zagen.
Hoewel de DoL de eerste stap in de aanval was, lijkt het mogelijk dat de werkelijke doelen bij het ministerie van Energie waren, met name werknemers met toegang tot nucleair materiaal. AlienVault schrijft dat er sprake was van de Site Exposure Matrices-website met informatie over de vergoeding van werknemers voor blootstelling aan giftige materialen.
Williams schreef: "Bezoekers van specifieke pagina's die nucleaire gerelateerde inhoud hosten op de website van het Department of Labour ontvingen ook schadelijke inhoud die werd geladen vanuit het domein dol.ns01.us." De betreffende DoL-site is inmiddels gerepareerd.
Wees voorzichtig daar
Het advies van Microsoft merkt ook op dat slachtoffers naar een website moeten worden gelokt om de exploit effectief te laten zijn. "In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen deze websites te bezoeken", schrijft Microsoft.
Omdat het mogelijk is dat dit een gerichte aanval is, zullen de meeste gebruikers waarschijnlijk de exploit zelf niet tegenkomen. Als het echter door één groep aanvallers wordt gebruikt, hebben anderen waarschijnlijk ook toegang tot de nieuwe exploit. Kijk zoals altijd uit voor vreemde links en te goede aanbiedingen. In het verleden hebben aanvallers social engineering-tactieken gebruikt, zoals het kapen van Facebook-accounts om kwaadaardige links te verspreiden of e-mails te laten verschijnen van familieleden. Het is een goed idee om elke link een snuiftest te geven.
Microsoft heeft niet aangekondigd wanneer of hoe de exploit zal worden aangepakt.
