'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt'

Een beveiligingsonderzoeker heeft een zero day-beveiligingsprobleem gevonden in versies 7 en 8 van Internet Explorer. De kwetsbaarheid wordt actief misbruikt, waardoor gebruikers van de browserversies gevaar lopen.

Beveiligingsonderzoeker Eric Romang kwam het beveiligingsprobleem op het spoor tijdens een onderzoek naar een groep internetcriminelen die ook achter de recente zero day in Java zat. In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploit bleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.

Romang plaatste een video waarin hij laat zien hoe een naar zijn zeggen volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden. Overigens is in het filmpje juist een waarschuwings-icoon te zien in de taakbalk dat aangeeft dat er updates zijn die nog geïnstalleerd moeten worden. Of ook andere Windows-versies dan XP kwetsbaar zijn, is nog onbekend. Internet Explorer 7 is niet beschikbaar voor Windows 7, maar versie 8 wel. De nieuwste, niet door dit probleem getroffen IE-versie is Internet Explorer 9.

De beheerders van de Metasploit-hackerstoolkit zullen de exploit maandag toevoegen. Daarmee lopen gebruikers van de twee browsers gevaar: het enige dat nodig is om besmet te worden, is naar een website surfen die de malware serveert, al dan niet bewust. Dit staat bekend als een 'drive-by download'.

De beveiligingsonderzoeker stelt dat de groep die de zero day misbruikte, niet blij was dat hij deze op het spoor kwam: twee dagen nadat Romang de bestanden van de server downloadde, waren deze verdwenen. Volgens Security.nl zat dezelfde groep in 2011 achter aanvallen op chemische bedrijven.

Door Joost Schellevis

Redacteur

Feedback • 17-09-2012 11:42132

17-09-2012 • 11:42

132 Linkedin

Lees meer

Minister VWS: afweging veiligheid en functionaliteit ligt bij zorgverleners zelf Nieuws van 27 oktober 2016
Ministerie VWS raadt zorgverleners aan om browsers niet te updaten Nieuws van 22 september 2016
Ongepatcht Internet Explorer-lek verschijnt in de openbaarheid Nieuws van 2 oktober 2013
Metasploit voegt sudo-exploit voor root-toegang toe Nieuws van 8 september 2013
'Fouten in upnp-standaard maken netwerkapparatuur kwetsbaar' Nieuws van 29 januari 2013
Oracle patcht misbruikt Java-lek voortijdig Nieuws van 14 januari 2013
Nieuw beveiligingsprobleem Java wordt mogelijk al misbruikt Nieuws van 10 januari 2013
Microsoft geeft tijdelijke fix vrij voor lek in IE6, -7 en -8 Nieuws van 1 januari 2013
Microsoft waarschuwt voor lek in IE6, -7 en -8 Nieuws van 30 december 2012
Groot beveiligingsprobleem Java pas in februari gedicht Nieuws van 18 oktober 2012
Nederlandse overheid gaat gebruik IE niet afraden Nieuws van 4 oktober 2012
Onderzoeker ontdekt groot beveiligingsprobleem in Java Nieuws van 26 september 2012
Waterbedrijf Oasen versleutelde sessie-id's niet Nieuws van 25 september 2012
Microsoft komt vrijdag met tussentijdse update voor IE-lek Nieuws van 20 september 2012
Zero day raakt ook recentere versie Internet Explorer Nieuws van 18 september 2012
Noodpatch Oracle voor kritiek lek Java bevat nieuwe kwetsbaarheid Nieuws van 31 augustus 2012
Ongepatcht lek in Java 7 wordt actief misbruikt Nieuws van 28 augustus 2012
Microsoft dicht zero day-xml-lek Nieuws van 11 juli 2012
Microsoft waarschuwt voor zero day-xml-lek Nieuws van 13 juni 2012
Krant: Amerikaanse regering zat achter Stuxnet Nieuws van 1 juni 2012
'Stuxnet werd door infiltrant via usb-stick verspreid' Nieuws van 13 april 2012
Meer producten en artikelen
Privacy Browsers Internet Microsoft Windows Beveiliging

Reacties (132)

-Moderatie-faq
132
114
74
5
1
18
Wijzig sortering
DiKkieDIKnr1
17 september 2012 11:59
Romang plaatste een video waarin hij laat zien hoe een volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden.
Ik zie in het filmpje toch echt dat de XP versie aangeeft updates te hebben, een beveiliging waarschuwing weergeeft en dat de anti virus niet up-to-date is dan wel uit staat.
dutch_warrior
@DiKkieDIKnr117 september 2012 12:36
Inderdaad viel mij ook al op.
Daarnaast vraag ik mij af of dit is gedaan met een lokale administrator account of met een standaard gebruikersaccount.
Windows is namelijk mits goed geconfigureerd best veilig en een groot gedeelte van de bekende exploits functioneren niet zodra je werkt met een echt gebruikersaccount (zoals bij Linux de standaard is.)
De grootste problemen van Windows worden veroorzaakt door onkunde van gebruikers en beheerders, ik ben wel benieuwd wat er gebeurt wanneer de "handige" Windows beheerders in de toekomst een ander OS gaan beheren. Linux dwingt geluk het gebruik van een non root account in de meeste gevallen af, Microsoft zou dit ook gewoon moeten doen.
AHBdV
@dutch_warrior17 september 2012 13:52
Niet zo opgelet de laatste jaren? Vanaf Windows Vista dwingt Microsoft ook gewoon af dat je op een non-root account werkt.

Het zogenaamde administrator account in Vista is gewoon een non-root account. Het enige verschil tussen normale user en administrator, is dat de normale user de username en password daadwerkelijk moet intikken, en bij admin dat voor je gedaan is, en je alleen op OK hoeft te drukken. Echter, in beide gevallen moet de user dus actief reageren, om op die manier de security level tijdelijke te verhogen naar root. Een niet-interactief (malware) programma blijft gewoon op non-root level steken.

[Reactie gewijzigd door AHBdV op 17 september 2012 13:53]

SirDarkAngel
@AHBdV17 september 2012 14:52
Vaak wordt de UAC uitgezet en zo niet dan drukken veel eindgebruikers altijd op OK, omdat ze niet weten wanneer het wel of niet nodig is. Bij een Java update welke opeens opduikt wel op OK moet drukken en bij het bezoeken van een internet pagina niet is vaak niet uit te leggen.
hackerhater
@AHBdV17 september 2012 14:53
Zover de theorie.............
Praktijk heb ik al wat anders meegemaakt met vista en win 7
zoals hitman pro die ondanks geen prompt gewoon in het hosts-bestand kon schrijven ed........

UAC verlaagd de rechten van de admin-gebruiker ipv het verhogen wat sudo doet.
Wat een veel grotere kans op bugs geeft.

[Reactie gewijzigd door hackerhater op 17 september 2012 14:54]

Alexxxxxxxxxx
@dutch_warrior17 september 2012 13:28
Mwah, wat er dan gebeurt is dat die sysadmins alles als root gaan draaien :p
Mantis
17 september 2012 13:21
Wel jammer dat er niet in het artikel vermeld wordt dat ook Flash nodig is om dit te laten werken.
Stupendous Man
17 september 2012 13:25
Door Joost Schellevis,
De nieuwste, niet door dit probleem getroffen getroffen IE-versie is Internet Explorer 9.
Ik ben benieuwd wat de bron is waarop de stelling dat IE9 niet kwetsbaar zou zijn is gebaseerd.
Ik vind slechts de volgende vermelding in de genoemde bron:

"You will also see that tests are done, in order to target Windows XP 32-bit and Internet Explorer 7 or 8."
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

"The exploit was targeting Windows XP 32-bit with IE7 or IE8"
http://www.youtube.com/watch?v=_w8XCwdw5FI

Geen beschrijving of ook IE9 onderzocht is.
Geen Vista/ Win7 met IE9 bij de hand om te testen, of niet kwetsbaar?
Onduidelijk.

Alleen MrBil meldt recent, 12:59 uur op Security.nl:
"Ik heb de exploit op IE9 getest en de exploit wordt niet geactiveerd met deze versie.
Ook niet met IE8 op een Windows 7 machine."
http://www.security.nl/artikel/43105/1/Hackers_misbruiken_nieuw_IE-lek_in_het_wild.html


[wijziging: vet/ bold gebruikt ter attendering]

[Reactie gewijzigd door Stupendous Man op 17 september 2012 15:41]

Unflux
@Stupendous Man17 september 2012 17:31
Bovenstaande hackers gebruikte op dat moment de huidige exploit. Zojuist is er een nieuwe exploit uitgekomen op Metasploit zie: https://community.rapid7....lorer-0-day-in-metasploit

Met deze exploit is 'ook' IE9 te exploiten.
Mars Warrior
17 september 2012 11:57
Ik snap het niet helemaal.
In het filmpje heeft men het continue over flash, en dat dit mogelijk is met de laatste flash versie.

Als de exploit in flash zit, wat heeft dit dan met IE te maken??
TMDevil
@Mars Warrior17 september 2012 12:22
Volgens mij is het ook idd een combinatie tussen IE7/8 en Flash, en moet eigenlijk Adobe gewoon weer eens een fix uit brengen.
Dus ja, een IE7/8 gebruiker is hier kwetsbaar voor. Is het een lek in IE? Nee, het is een lek in Macromedia. Maar alleen uitvoerbaar met IE7/8 omdat de plug-in daar meer rechten heeft...

We hebben allemaal een hekel aan IE (net name web-devers), maar dit is geen IE bug als je het mij vraagt.

Tevens, zie ik toch echt in dit filmpje dat XP zegt dat er nog updates beschikbaar zijn, dus up-to-date is die machine zeker niet !!
snowie81
@Mars Warrior17 september 2012 11:59
misschien de toegankelijkheid van oudere ie browsers?
HerrPino
@Mars Warrior18 september 2012 07:10
Het is idd een exploit in Flash. Echter had Microsoft toch wel iedere plug-in in een sandbox mogen laten draaien. Wat dat betreft vind ik het ook een fout in het plug-in architectuur van IE.
nelizmastr
17 september 2012 11:51
Des te meer reden om een veiligere browser te gaan gebruiken, zeker als je nog altijd XP draait. Al heb ik het vermoeden das MS hier niet per se wakker om ligt, omdat het "oude" versies betreft.
patje143
@nelizmastr17 september 2012 11:58
IE8 is de nieuwste IE versie die je op WinXP kan gebruiken.
Aangezien de support van MS op winXP nog tot 8 April 2014 loopt, moet IE8 in mijn ogen minimaal ook tot die datum support krijgen.
"oude versies" vind ik in dit geval dus beetje kort door de bocht...
(los daarvan is het natuurlijk altijd handig om een veiligere browser te gebruiken)

[Reactie gewijzigd door patje143 op 17 september 2012 11:58]

TMDevil
@patje14317 september 2012 12:25
Als je naar het filmpje kijkt, dan zie je dat het gewoon een lek in Flash is, en niet in IE. Dus ik denk niet dat Microsoft hier een fix voor hoeft uit te brengen.

Ik vermoed dat deze zelfde exploit door anders browsers niet kan doordat plug-ins daar minder rechten hebben.
Armin
@TMDevil18 september 2012 00:34
Tenzij ik het filmpje mis, lijkt het er verder niet op dat de executabel uitgevoerd wordt.

Maar corrigeer me als ik me vergis, want anders is het ook een lek in IE8/XP. Immers downloaden is één, executeren buiten de sandbox is twee.

Merk verder op dat virusscanners uit stonden.

Om deze aanval tegen te houden, is slechts één van deze drie zaken nodig (Flash gefixt, IE8 gefixt/niet kwetsbaar of virusscanner die exe tegenhoudt).

Ikzelf heb inmiddels Java en Flash en Adobe reader plugin al lang gedeinstaleerd van al mijn PC's. Zo goed als alle hacks komen tegenwoordig via een van deze 3 plugins.
Iftert
@nelizmastr17 september 2012 11:53
Mwah... Denk het wel. het is wel hun naam die weer te grabbel ligt. Dus ik verwacht dat ze hier snel wat op verzinnen.
Zethiel
@nelizmastr17 september 2012 11:56
Het mogen dan wel "oudere" versies zijn, maar vooral bij veel bedrijven zullen deze nog wel redelijk veel gebruikt worden ( ook hier bij mij op kantoor ) dus hopelijk pakken ze dit wel op korte termijn op.
garagaholic
@nelizmastr17 september 2012 12:00
Het is lastig om in deze context van 'veiligere browser' te spreken, gezien het om een zero day exploit gaat (zover ik kan zien een combi van Flash en IE7/8?). Iedere browser is in potentie vatbaar voor dit soort dingen, en als je al een schuldige zou willen aanwijzen, qua veiligheid, is het Windows dat de 'gedropte' exe rücksichtslos uit gaat voeren...
SuperDre
@nelizmastr17 september 2012 14:42
ook de andere browsers zijn op dit gebied niet veilig, ook daarvoor worden, net zoals bij ie, ook zeroday beveiligingsbugs gevonden... dus als je denkt dat je ook 100% veilig bent op bv chrome, dan ben je heel HEEL erg naief...
Annihilism
17 september 2012 12:08
Lekken zullen er altijd gevonden blijven worden. Zolang mensen het maar blijven melden kan misbruik op tijd tegen worden gegaan. Waar ik eigenlijk benieuwd naar ben is of er ook voorbeelden zijn van hackers die deze exploit al misbruikt hebben (op de man die in dit artikel beschreven staat na dan natuurlijk)

Wat ik mij altijd afvraag is of het wel verstandig is om zoiets zo openlijk in de media te brengen. Hoewel de mensen die dit soort lekken misbruiken er natuurlijk vaak allang van afweten. Lekker dat er ook al bekend is dat de exploit bij de eerstvolgende hackerstoolkit al beschikbaar is 8)7 ...
Ook al Bezet
@Annihilism17 september 2012 12:34
. Waar ik eigenlijk benieuwd naar ben is of er ook voorbeelden zijn van hackers die deze exploit al misbruikt hebben
Dat lijkt wel waarschijnlijk Unflux in 'nieuws: 'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt''

Erg grappig trouwens dat een stel hackers hun eigen server kennelijk niet goed beveiligt.

[Reactie gewijzigd door Ook al Bezet op 17 september 2012 13:31]

TunefulDJ_Mike
@Ook al Bezet17 september 2012 12:45
de Hackers worden gehack, waar gaat het heen met deze wereld ;)
defixje
@Annihilism17 september 2012 13:04
Wat ik mij altijd afvraag is of het wel verstandig is om zoiets zo openlijk in de media te brengen.
Dat geeft juist meer druk bij de verantwoordelijke partijen om deze te dichten.

Ikzelf zit vaker op IRC met hackers te praten en deze exploit wordt al enige tijd aangeboden (tegen betaling), ik meen dat ik er vorige maand voor het eerst over gehoord heb.

Natuurlijk is daarna stap 2, (nadat het wat geld heeft opgeleverd) dat Metasploit deze opneemt in hun exploit-database. En dan komt stap 3 (meestal niet veel later), dat de exploit ook daadwerkelijk opgenomen wordt in de Metasploit-tool.

Dus zo gek dat het nu in de media komt is het niet, en ik vind het juist goed dat hier veel media aandacht voor komt en juist niet alleen in de underground-scene bekend blijft. Zo komt er meestal sneller een patch.

[Reactie gewijzigd door defixje op 17 september 2012 13:05]

RobjeDopje
17 september 2012 13:35
Oke, leuk, hij download een .exe . En nu? Hoe gaat de gebruiker deze uitvoeren? Of mis ik iets?
defixje
@RobjeDopje17 september 2012 13:54
Ik denk dat je nog even beter er in moet verdiepen :Y)
Unflux
@RobjeDopje17 september 2012 15:07
De exploit gebruikt een module waarmee de gedropte .exe automatisch uitgevoerd wordt.
Fabbie
17 september 2012 13:23
Euhm, niemand opgevallen dat hij security essentials uit gezet had op die PC? Hoe zit het dan met PC van mensen die gewoon de beveiliging aan laten staan? (duh!)
Anoniem: 80466
17 september 2012 12:00
De titel zegt actief misbruik maar ik lees ik nergens dat er in het wild al aanvallen mee zijn uitgevoerd.

Dus effectief klopt de titel niet.
Vexxon
@Anoniem: 8046617 september 2012 12:27
In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploit bleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.
Het resultaat van het gebruik is wel gevonden, er zijn dus wel degelijk aanvallen uitgevoerd.
Anoniem: 80466
@Vexxon17 september 2012 13:14
Dat hoeft geen resultaat te zijn van misbruik maar kunnen ook bestanden zijn van een developer die nieuwe malware aan het ontwikkelen is.
ViperXL
@Anoniem: 8046617 september 2012 12:50
En daarom heet het een 0-day exploit ;)
Wolfos
17 september 2012 11:59
Niets nieuws toch? Als je een oude browserversie draait, dan loop je gevaar voor exploits.
Gewoon geen oude browserversie draaien.
EdwardTheGreat
@Wolfos17 september 2012 12:51
Zo oud is IE8 nog niet eens.
En bovendien, IE9 kan je niet gebruiken op XP
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee