Aanvalscode voor nieuw IE-lek openbaar gemaakt
Gebruikers van Internet Explorer lopen verhoogd risico nu details om misbruik te maken van een nieuw beveiligingslek openbaar zijn geworden. De kwetsbaarheid is aanwezig in alle ondersteunde versies van IE en er is nog geen beveiligingsupdate van Microsoft beschikbaar.
Ross Barrett van beveiligingsbedrijf Rapid7 laat weten dat exploitcode die misbruik van het lek maakt op VirusTotal en Scumware is aangetroffen. "Gebruikers en beheerders moeten meteen actie ondernemen om het risico van CVE-2013-3893 te verhelpen." Beveiligingslekken krijgen over het algemeen een CVE-nummer toegekend, wat wordt gebruikt om in de CVE-database allerlei informatie over de kwetsbaarheid en eventuele oplossing bij te houden. Het nieuwe IE-lek heeft CVE-2013-3893 gekregen.
"Aangezien alle IE-versies kwetsbaar zijn, houdt dit in dat het probleem al aanwezig was toen IE6 in 2001 verscheen", gaat Barrett verder. Hij merkt op dat het lek misschien pas een week gebruik wordt, of mogelijk al meer dan tien jaar door aanvallers wordt ingezet. Eerder meldde beveiligingsbedrijf FireEye al dat de kwetsbaarheid een maand lang werd misbruikt voordat Microsoft alarm sloeg.
Noodpatch
Barrett verwacht dat Microsoft met een noodpatch zal komen, aangezien de volgende patchdinsdag pas op 8 oktober zal plaatsvinden. De aanvallen die op dit moment zijn waargenomen zijn alleen tegen IE8 en IE9 gericht. Daarnaast werkt de exploit alleen als de gebruiker ook Microsoft Office heeft geïnstalleerd. Het DLL-bestand dat de exploit gebruikt komt echter zeer veel voor en zal waarschijnlijk niet veel invloed op de omvang van de kwetsbare populatie hebben, aldus Wolfgang Kandek van Qualys.
Vanwege de kwetsbaarheid besloot het Internet Storm Center (ISC) in het weekend het dreigingsniveau voor het internet te verhogen naar 'geel', omdat er een toename was van het aantal aanvallen op IE-gebruikers. Volgens Barrett is de eenvoudigste manier om het risico te verkleinen een andere browser dan IE te gebruiken.
In het geval IE noodzakelijk is, wordt het gebruik van de gratis Enhanced Mitigation Experience Toolkit (EMET) 4.0 aangeraden of kunnen gebruikers de Fix it-oplossing installeren. Deze laatste maatregel werkt echter alleen op 32-bit versies van Internet Explorer.
onder een gewoon user account (dan kan een eventuele attacker in ieder geval niks installeren). Daarnaast is het
implementeren van een Software Restriction Policy of Applocker policy ook aan te raden. Deze moet dan het uitvoeren
van code in %USERPROFILE% blokkeren.
[...] of kunnen gebruikers de Fix it-oplossing installeren. Deze laatste maatregel werkt echter alleen op 32-bit versies van Internet Explorer.
De Fix it oplossing is geschikt voor IE op x86 systemen,
en voor de 32 bit IE versies op x64 systemen (zoals 32 bit IE8 op XP x64, en 32 bit IE9 op Vista x64),
en de Fix it oplossing is niet geschikt voor de 64 bit IE versies op x64 systemen (zoals 64 bit IE8 op XP x64, en 64 bit IE9 op Vista x64).
Maar hoe zit het met IE10 op x64 Windows 7 en 8?
Uit meerdere bronnen begrijp ik dat in Windows 7 x64 de IE10 browser-tabs 32 bit processen zijn en de "Internet Explorer 10 Manager" een 64 bit proces is. (Pas wanneer Enhanced Protected Mode wordt ingeschakeld zijn ook de tabs 64 bit processen.)
Wat hierdoor voor IE10 exact de implicatie is van de vermelding door Microsoft dat de Fix it oplossing alleen van toepassing is op de 32 bits versies van Internet Explorer, dat is me niet goed duidelijk.
Is de Fix it ongeschikt voor IE10 op x64 systemen, of mogelijk wél geschikt wanneer Enhanced Protected Mode niet is ingeschakeld?
Dat lijkt me nogal een relevante vraag, waarop Microsoft in de informatie bij de Fix it oplossing geen antwoord biedt.
Ikzelf heb onvoldoende inzicht in de kwetsbaarheid, en in de Fix it oplossing, en in IE10 om dat goed te kunnen beoordelen.
Heeft iemand anders mogelijk wél dat inzicht om te kunnen beoordelen en uitleggen of en waarom de Fix it oplossing wel of niet geschikt is voor IE10 op x64 Windows 7 en 8?
Hetzelfde is eerder al besproken in de reacties bij https://www.security.nl/posting/364180/, maar er is daar geen antwoord gekomen op het bovenstaande.
Bedankt alvast.
Waar staat die .dll zal hem eens bekijken dan.
Zouden we mogen weten wat dat lek eigenlijk juist doet, misschien handig voor mensen die niet direct zien wat het probleem zou kunnen zijn.
Waar staat die .dll zal hem eens bekijken dan.
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
