Een exploit die misbruik maakt van een onbekend beveiligingslek in Internet Explorer 6, 7 en 8 is op meer websites ingezet dan tot nu toe werd aangenomen. Dat meldt beveiligingsonderzoeker Eric Romang. De voorheen onbekende kwetsbaarheid werd het afgelopen weekend geopenbaard. Vorige week woensdag had iemand de exploit op de website van het Council on Foreign Relations portal ontdekt.
De exploit voor de IE-kwetsbaarheid, die inmiddels CVE-nummer 2012-4792 heeft gekregen, zou volgens beveiligingsbedrijf FireEye al tenminste sinds 21 december op de website hebben gestaan. Het gaat om een zogeheten 'drinkplaats-aanval', waarbij interessante personen de gehackte website uit zichzelf bezoeken en zo besmet raken. De aanvallers hoeven hierdoor geen spear phishing-mails te versturen die zouden kunnen opvallen.
Volgens Romang vond de aanval op de website van het Council on Foreign Relations al veel eerder plaats en zou de exploit al sinds 7 december actief zijn. De onderzoeker baseert zich op een exemplaar van de website in de cache van Google die van 7 december dateert.
Website
Via de gratis URL-scanner Urlquery.net ontdekte Romang ook een andere website die de exploit hoste, namelijk capstoneturbine.com. Capstone Turbine is een bedrijf dat energieturbines fabriceert. Naar eigen zeggen is het de grootste leverancier van lage-emissie microturbinesystemen wereldwijd. De exploit voor het IE-lek, CVE-2012-4792, zou sinds 18 december op de website hebben gestaan.
Romang ontdekte verder dat de website al sinds halverwege september werd gebruikt voor het verspreiden van een exploit voor beveiligingslek CVE-2012-4969. Ook in dit geval ging het om een zero-day kwetsbaarheid in Internet Explorer. De onderzoeker sluit dan ook niet uit dat dezelfde groep hackers zowel achter de zero-day exploit voor CVE-2012-4969 als voor CVE-2012-4792 zit.
Website
Het probleem op de website van Capstone Turbine was op 19 september ook door anti-virusbedrijf Avast ontdekt, dat het bedrijf inlichtte. "Ze hebben nooit gereageerd en het probleem ook niet opgelost", aldus virusonderzoeker Jindrich Kubec.
Microsoft heeft inmiddels een tijdelijke Fix it-oplossing voor het lek uitgebracht. Wanneer de uiteindelijke beveiligingsupdate uitkomt die het probleem verhelpt is nog onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.