Microsoft waarschuwt gebruikers van Internet Explorer voor een nieuw beveiligingslek waar nog geen patch voor is en wat hackers actief misbruiken. Het bezoeken van een website volstaat om met malware besmet te raken. Volgens de softwaregigant is de impact van het lek "zeer beperkt" en is het onbekend met klanten die getroffen zijn. De exploitcode werd op een enkele website ontdekt, die de exploit niet meer aanbiedt.

"Als een website wordt ontdekt die kwaadaardige software aanbiedt, werken we via juridische kanalen om hem uit de lucht te halen. Dit soort pogingen om systemen te misbruiken en de mensen die technologie gebruiken zijn de activiteiten van criminelen. Microsoft neemt dit zeer serieus en waar mogelijk, ondernemen we juridische stappen", zegt Jerry Bryant van het Microsoft Security Response Center.

Toch is het opmerkelijk dat een zeer waardevolle IE-exploit, die alle ondersteunde versies treft, op één website wordt gebruikt en daar wordt gevonden voordat iemand besmet is geraakt. In de advisory laat Microsoft echter weten dat het wél op de hoogte van "gerichte aanvallen" is die het lek misbruiken.

Aanval
Anti-virusbedrijf Symantec laat weten dat hackers de zero-day exploit via e-mail hebben gebruikt door berichten naar "een selecte groep individuen binnen aangevallen organisaties" te sturen. In de berichten stond een link die naar de kwaadaardige of gehackte pagina wees. Op de pagina stond een script dat controleerde welke browser en besturingssysteem de bezoeker gebruikte. De exploit op deze pagina werkte alleen tegen IE6 en IE7, hoewel ook IE8 kwetsbaar is. Gebruikers van IE8 of een andere browser kregen alleen een lege website te zien.

Bij kwetsbare bezoekers installeerde de malware zichzelf en maakte een service genaamd 'NetWare Workstation' aan. Vervolgens werd er een backdoor opgezet die verbinding met een Poolse server maakte waar het .gif bestanden probeert op te halen. Het ging echter om kleine versleutelde bestanden waarin opdrachten voor de Trojan stonden. Symantec wist een deel van het netwerkverkeer te achterhalen en ontdekte dat de aanvaller handmatig commando's op de machine uitvoerde.

Het anti-virusbedrijf laat weten dat de bestanden op de gehackte Poolse server door mensen in "tal van organisaties" in meerdere industrieren over de hele wereld waren opgevraagd. Vervolgens waarschuwde de virusbestrijder Microsoft.

Symantec's Vikram Thakur eindigt met een duidelijke boodschap: "Ik weet dat we normaal dit soort blogpostings met een opmerking over veilig computer afsluiten. Maar aangezien je dit nog leest, is hier een boodschap voor mensen die servers beheren die aan het internet hangen. Deze computers zijn jullie verantwoordelijkheid. Zorg ervoor dat je weet wat er op deze computers wordt aangeboden, patch ze, installeer firewalls met de juiste configuratie, wijzig regelmatig wachtwoorden en het belangrijkste, laat ze geen verbindingen vanaf het web toestaan, tenzij je weet wat je doet."

Geen noodpatch
Volgens Bryant lopen gebruikers van de IE9 Beta geen risico, en hij merkt op dat gebruikers die willen upgraden naar deze versie dat zonder kosten kunnen doen. IE9 is niet beschikbaar voor Windows XP-gebruikers. Microsoft laat verder weten dat voorlopig onderzoek uitwijst dat het zeer onwaarschijnlijk is dat standaard installaties van IE8 risico lopen, maar de softwaregigant wil het ook niet uitsluiten.

In de Security Advisory staan tijdelijke oplossinge die gebruikers kunnen toepassen, zoals het aanpassen van CSS-style die websites gebruiken en het instellen van de EMET tool. Daarnaast wordt er aan een Fix It oplossing gewerkt die deze 'workaround' automatiseert. Ook is er een beveiligingsupdate in ontwikkeling, maar Bryant laat weten dat het lek niet ernstig genoeg is om een out-of-band patch te rechtvaardigen. Wederom verschilt Bryant hiermee van de advisory, waarin staat dat Microsoft een out-of-band wel als mogelijke optie ziet.

Update 19:45 - vermelding over aanval toegevoegd

Update 4/10 8:18 - Fix it oplossing beschikbaar