Door een aanwijzing in een blogposting van anti-virusbedrijf McAfee, heeft een Israëlische onderzoeker een exploit voor het nieuwe zero-day lek in Internet Explorer gepubliceerd. Via de exploit is het mogelijk om gebruikers van IE6 en 7 via drive-by downloads te infecteren. De aanvalscode is inmiddels ook aan hackertool Metasploit toegevoegd. De aanval werkt tegen IE6 en 7 op Windows XP en IE7 op Vista.

In de blogposting zegt McAfee dat de aanval via het domein topix21century.com plaatsvindt. Genoeg informatie voor Moshe Ben Abu om de exploit op te halen, te deobfusceren en vervolgens te zien waar het lek in Microsoft's browser aanwezig is. "Het kostte slechts een paar minuten om de exploit in die host te vinden", aldus Ben Abu. Uiteindelijk had hij voor het reverse engineeren en vinden van de kwetsbaarheid zo'n tien minuten nodig. De kwetsbare code is aanwezig in het bestand iepeers.dll.

Exploit
Volgens H.D. Moore, de ontwikkelaar van hackertool Metasploit, werkt de code niet feilloos. "Het is ongeveer 50% betrouwbaar op Windows XP SP2/SP3 met IE7, zonder DEP. Met IE6 is het iets beter." Microsoft en GOVCERT adviseren gebruikers van IE6 en 7 om naar Internet Explorer 8 te upgraden, aangezien deze versie niet kwetsbaar is.

Al voor de publicatie van de exploit waren anti-virusbedrijven bang voor misbruik op grote schaal. “Exploitcodes worden steeds vaker door cybercriminelen aangepast en gebruikt. Wij verwachten dat ook dit nieuwe lek binnenkort massaal zal worden misbruikt. Wat de situatie nog gevaarlijker maakt, is dat het hiervoor vatbare Internet Explorer 7 nog erg veel gebruikt wordt. We gaan dan ook uit van een groot aantal potentiële infecties", zegt Ralf Benzmüller van G Data.

Update 11:03
Symantec heeft een analyse van de exploit online gezet, terwijl het Spaanse anti-virusbedrijf Panda Security de volgende video ervan maakte: