Microsoft zal morgen een noodpatch voor een ernstig lek in Internet Explorer 6 en 7 uitbrengen dat hackers op dit moment actief misbruiken. De zero-day kwetsbaarheid werd op 9 maart door de softwaregigant aangekondigd. Aanvallers konden via gehackte of kwaadaardige websites kwetsbare systemen volledig overnemen. In eerste instantie ging het nog om gerichte aanvallen door hackers, maar al snel ging het om publieke aanvallen. De melding van het zero-day lek was voor Symantec reden om de alarmfase voor het internet te verhogen van 1 naar 2.

Overheidsinstantie GOVCERT adviseerde gebruikers naar Internet Explorer 8 te upgraden, aangezien deze versie van de browser, samen met IE 5.01 voor Windows 2000, niet kwetsbaar was. De verspreiding van de exploit kwam in een stroomversnelling toen een Israëlische onderzoeker de originele exploit ontdekte, die reverse engineerde en vervolgens aan hackertool Metasploit toevoegde.

Oplossing
Later bleek dat het zero-day lek in IE6 & 7 ook tijdens een spamrun was ingezet. Beveiligingsexpert Dave Aitel vermoedde dat Chinese hackers achter de aanval zitten. Microsoft zat in de tussentijd niet stil, want vijf dagen na de aankondiging had de softwaregigant een fix-it oplossing online staan, die misbruik bij kwetsbare browsers voorkwam.

Factoren
Vorige week werd bekend dat de kwetsbaarheid in steeds grotere mate werd misbruikt, met als gevolg de out-of-band patch van morgen. Volgens Ruud de Jonge, directeur Developer & Platform Evangelism van Microsoft Nederland, spelen er een aantal factoren een rol bij het uitbrengen van een out-of-band patch.

"Beschikbaarheid van een (geteste) patch. De kwaliteitscontrole is rigoureus en moet zijn doorlopen. Het aantal daadwerkelijke exploits van de kwetsbaarheid en de extra hoeveelheid werk die een out-of-band met zich meebrengt voor de consument en de zakelijke beheerder", zo laat hij aan Security.nl weten. Te veel afwijking van het "normale" patroon leidt ertoe dat de uitrol uiteindelijk minder wordt per patch. "En dan ze we nog veel verder van huis", zo merkt hij op. De reden om nu over te gaan tot het uitbrengen van de update komt omdat de patch goed getest is en het aantal exploits toeneemt.

Definitief
Wat betreft de effectiviteit van de Fix-It oplossing heeft De Jonge geen gegevens, maar hij kan zich voorstellen dat de "gebruiker" op een officiële en definitieve fix wacht. "Die is er nu morgenavond. Natuurlijk kan je op elk moment upgraden naar IE8 waar de kwetsbaarheid niet optreedt." Volgens De Jonge heeft IE6 op de Nederlandse markt een aandeel van 4,63%, terwijl IE7 op 15,85% zit.

De noodpatch zal beschikbaar worden onder Microsoft Security Bulletin MS10-018. De laatste keer dat Microsoft een noodpatch voor IE uitbracht was halverwege januari, vanwege het Aurora-lek waardoor onder andere Google werd gehackt.