Microsoft heeft in een een Security Advisory voor een kritisch beveiligingslek in Internet Explorer versies 6,7,8 en 9 gewaarschuwd. Kwaadwillenden kunnen dankzij deze kwetsbaarheid willekeurige code uitvoeren met de rechten van de gebruiker. Hierdoor kunnen zij gedeeltelijke of volledige controle over de computer verkrijgen.
Microsoft heeft een tijdelijke oplossing, een zogenoemde ‘Fix it’ voor download beschikbaar gesteld. Deze ‘Fix it’ lost de kwetsbaarheid in Internet Explorer niet op, maar zorgt er wel voor dat aanvallers deze niet kunnen misbruiken. Microsoft verwacht op 21 september rond 19:00 uur Nederlandse tijd het lek via een update definitief te verhelpen.
Het bezoeken van een website waar malafide code op draait die de browserbug benut is voldoende om slachtoffer te worden. Malafide code kan door kwaadwillenden ook op legitieme websites worden geplaatst zonder medeweten van de beheerder.
De exploit is ook al als module aan de hackertool Metasploit toegevoegd. Hierdoor is het zeer eenvoudig geworden om het lek te misbruiken.
De kwetsbaarheid is ontdekt door onderzoeker Eric Romang, die hier op zijn blog over schrijft. Met behulp van Adobe Flash Player wordt een ‘heap spray’ gebruikt om de ASLR (Address Space Layout Randomization) bescherming in Windows te omzeilen. Vervolgens wordt pagina met een iframe geladen die de ‘payload’
Inmiddels is een werkende exploit voor deze kwetsbaarheid al in het wild aangetroffen. Hierbij is in een Flash bestand met de naam ‘Moh2010.swf’ kwaadaardige code verstopt door middel van encryptie met DoSWF. Hiermee wordt een iframe met een ‘payload’ (code waarmee aanvaller willekeurige acties kan uitvoeren) geladen. De in het wild aangetroffen exploit laadde Poison Ivy, een toolkit waarmee criminelen computers als onderdeel van een botnet onder hun controle brengen.
De Duitse overheid heeft het gebruik van Internet Explorer inmiddels afgeraden aldus Reuters. Het Nationaal Cyber Security Centrum (NCSC) geeft in een beveiligingsadvies een toelichting en een aantal maatregelen. Verschillende Nederlandse universiteiten, waaronder die van Amsterdam en Utrecht, stappen tijdelijk over naar alternatieve browsers zoals Firefox. De Consumentenbond adviseert eveneens om tijdelijk geen Internet Explorer te gebruiken.
Inmiddels zijn door SP-Kamerlid Sharon Gesthuizen kamervragen over het lek gesteld. Zij wil dat de regering in een brief uitlegt waarom Nederlanders zijn geadviseerd de Fix it oplossing te installeren, in plaats van het advies Internet Explorer (tijdelijk) niet te gebruiken.