image

Aanvalscode voor nieuw IE-lek openbaar gemaakt

woensdag 25 september 2013, 16:25 door Redactie, 7 reacties

Gebruikers van Internet Explorer lopen verhoogd risico nu details om misbruik te maken van een nieuw beveiligingslek openbaar zijn geworden. De kwetsbaarheid is aanwezig in alle ondersteunde versies van IE en er is nog geen beveiligingsupdate van Microsoft beschikbaar.

Ross Barrett van beveiligingsbedrijf Rapid7 laat weten dat exploitcode die misbruik van het lek maakt op VirusTotal en Scumware is aangetroffen. "Gebruikers en beheerders moeten meteen actie ondernemen om het risico van CVE-2013-3893 te verhelpen." Beveiligingslekken krijgen over het algemeen een CVE-nummer toegekend, wat wordt gebruikt om in de CVE-database allerlei informatie over de kwetsbaarheid en eventuele oplossing bij te houden. Het nieuwe IE-lek heeft CVE-2013-3893 gekregen.

"Aangezien alle IE-versies kwetsbaar zijn, houdt dit in dat het probleem al aanwezig was toen IE6 in 2001 verscheen", gaat Barrett verder. Hij merkt op dat het lek misschien pas een week gebruik wordt, of mogelijk al meer dan tien jaar door aanvallers wordt ingezet. Eerder meldde beveiligingsbedrijf FireEye al dat de kwetsbaarheid een maand lang werd misbruikt voordat Microsoft alarm sloeg.

Noodpatch

Barrett verwacht dat Microsoft met een noodpatch zal komen, aangezien de volgende patchdinsdag pas op 8 oktober zal plaatsvinden. De aanvallen die op dit moment zijn waargenomen zijn alleen tegen IE8 en IE9 gericht. Daarnaast werkt de exploit alleen als de gebruiker ook Microsoft Office heeft geïnstalleerd. Het DLL-bestand dat de exploit gebruikt komt echter zeer veel voor en zal waarschijnlijk niet veel invloed op de omvang van de kwetsbare populatie hebben, aldus Wolfgang Kandek van Qualys.

Vanwege de kwetsbaarheid besloot het Internet Storm Center (ISC) in het weekend het dreigingsniveau voor het internet te verhogen naar 'geel', omdat er een toename was van het aantal aanvallen op IE-gebruikers. Volgens Barrett is de eenvoudigste manier om het risico te verkleinen een andere browser dan IE te gebruiken.

In het geval IE noodzakelijk is, wordt het gebruik van de gratis Enhanced Mitigation Experience Toolkit (EMET) 4.0 aangeraden of kunnen gebruikers de Fix it-oplossing installeren. Deze laatste maatregel werkt echter alleen op 32-bit versies van Internet Explorer.

Reacties (7)
25-09-2013, 16:54 door [Account Verwijderd] - Bijgewerkt: 25-09-2013, 17:15
[Verwijderd]
25-09-2013, 16:59 door Anoniem
Ik denk dat een effectieve manier om de impact van deze vulnerability ter vermijden op de eerste plaats is om te werken
onder een gewoon user account (dan kan een eventuele attacker in ieder geval niks installeren). Daarnaast is het
implementeren van een Software Restriction Policy of Applocker policy ook aan te raden. Deze moet dan het uitvoeren
van code in %USERPROFILE% blokkeren.
25-09-2013, 17:02 door Spiff has left the building
Door Redactie:
[...] of kunnen gebruikers de Fix it-oplossing installeren. Deze laatste maatregel werkt echter alleen op 32-bit versies van Internet Explorer.
Inderdaad, zoals Microsoft aangeeft, "The Fix it solution that is described in this section applies only 32-bit versions of Internet Explorer."

De Fix it oplossing is geschikt voor IE op x86 systemen,
en voor de 32 bit IE versies op x64 systemen (zoals 32 bit IE8 op XP x64, en 32 bit IE9 op Vista x64),
en de Fix it oplossing is niet geschikt voor de 64 bit IE versies op x64 systemen (zoals 64 bit IE8 op XP x64, en 64 bit IE9 op Vista x64).

Maar hoe zit het met IE10 op x64 Windows 7 en 8?
Uit meerdere bronnen begrijp ik dat in Windows 7 x64 de IE10 browser-tabs 32 bit processen zijn en de "Internet Explorer 10 Manager" een 64 bit proces is. (Pas wanneer Enhanced Protected Mode wordt ingeschakeld zijn ook de tabs 64 bit processen.)
Wat hierdoor voor IE10 exact de implicatie is van de vermelding door Microsoft dat de Fix it oplossing alleen van toepassing is op de 32 bits versies van Internet Explorer, dat is me niet goed duidelijk.

Is de Fix it ongeschikt voor IE10 op x64 systemen, of mogelijk wél geschikt wanneer Enhanced Protected Mode niet is ingeschakeld?
Dat lijkt me nogal een relevante vraag, waarop Microsoft in de informatie bij de Fix it oplossing geen antwoord biedt.

Ikzelf heb onvoldoende inzicht in de kwetsbaarheid, en in de Fix it oplossing, en in IE10 om dat goed te kunnen beoordelen.
Heeft iemand anders mogelijk wél dat inzicht om te kunnen beoordelen en uitleggen of en waarom de Fix it oplossing wel of niet geschikt is voor IE10 op x64 Windows 7 en 8?

Hetzelfde is eerder al besproken in de reacties bij https://www.security.nl/posting/364180/, maar er is daar geen antwoord gekomen op het bovenstaande.

Bedankt alvast.
25-09-2013, 17:09 door Anoniem
Zouden we mogen weten wat dat lek eigenlijk juist doet, misschien handig voor mensen die niet direct zien wat het probleem zou kunnen zijn.

Waar staat die .dll zal hem eens bekijken dan.
25-09-2013, 19:33 door Spiff has left the building
Door Anoniem, 17:09 uur:
Zouden we mogen weten wat dat lek eigenlijk juist doet, misschien handig voor mensen die niet direct zien wat het probleem zou kunnen zijn.
Waar staat die .dll zal hem eens bekijken dan.
Biedt de exploit en Fit it informatie op de volgende pagina je misschien aanknopingspunten?
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
25-09-2013, 19:34 door Anoniem
Ik gebruik voorlopig vooral Chrome en Firefox. Ik wil dat Microsoft eerst het probleem fixed middels windows update,tot dan zal ik IE niet,of dan toch zo min mogelijk gebruiken.Hopelijk komt de update op de eerstvolgende patchdag.
25-09-2013, 21:43 door Anoniem
Door Anoniem: (dan kan een eventuele attacker in ieder geval niks installeren).

privilege escalation
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.