image

IE-exploit omzeilt DEP, actief in het wild

woensdag 20 januari 2010, 14:54 door Redactie, 0 reacties

Een Frans beveiligingsbedrijf heeft een manier gevonden om de DEP-beveiliging in Windows te omzeilen en zo een lek in Internet Explorer toch te misbruiken. Hert gaat om het lek waar Microsoft binnenkort een out-of-band patch voor uitbrengt. Daarnaast is de originele exploit al op verschillende websites aangetroffen. De exploit van het Franse VUPEN lijkt niet de ".NET truc" van Mark Dowd en Alexander Sotirov te gebruiken, waarmee DEP ook is te omzeilen, zo meldt het Internet Storm Center.

De exploit van VUPEN vereist wel dat JavaScript is ingeschakeld en zou dus ook op Internet Explorer 8 werken, waarvan Microsoft steeds beweerde dat het veilig was. Het Franse bedrijf stelt de aanvalscode alleen ter beschikking aan beveiligingsbedrijven en andere partijen die de "Exploits & PoCs Service" afnemen.

Exploit
Ondertussen waarschuwt McAfee dat de originele exploit tegen consumenten wordt ingezet, en dan met name Chinese eindgebruikers. De exploits zijn voornamelijk afkomstig van subdomeinen van 3322.org en 8866.org. Het gaat in veel gevallen om de bestandsnaam ie.html, die weer naar het bestand what.jpg verwijst en een deel van de exploitcode bevat. Op het systeem geplaatste malware kan de naam down.css en log.css hebben en is in staat om aanvullende malware te downloaden. Volgens de virusbestrijder is dit het "topje van de ijsberg" en zullen de komende weken nog veel meer domeinen de malware en exploits aanbieden. Het Extraexploit-blog houdt een lijst van gebruikte domeinen bij.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.