IE zero-day-lek ingezet tegen eindgebruikers
Eén van de zero-day-lekken in Internet Explorer die Microsoft deze week patchte is ingezet tegen eindgebruikers om wachtwoorden voor online games en internetbankieren te stelen, wat zeer opmerkelijk is. Zero-days zijn kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar is.
Het vinden van zero-days is een kostbare aangelegenheid en in veruit de meeste gevallen worden ze tegen zeer waardevolle doelen ingezet. Microsoft verhielp deze week twee zero-days in Internet Explorer. Slechts voor één van deze kwetsbaarheden waarschuwde Microsoft gebruikers. Het lek zou onder andere zijn gebruikt om Koreaanse en Japanse industriële ondernemingen en financiële instellingen te infiltreren.
Eindgebruikers
Er bleek echter ook nog een andere zero-day-kwetsbaarheid te worden gebruikt, die onder andere door het Nationaal Cyber Security Center aan Microsoft werd gerapporteerd. Dit lek werd sinds halverwege september tegen Japanse en Zuid-Koreaanse internetgebruikers ingezet, zo meldt Trustwave Spiderlabs. Beveiligingsbedrijf Websense stelt echter dat de exploit al sinds 23 augustus van dit jaar rondgaat.
De exploit die van het lek misbruik maakt werkt alleen tegen Windows XP met Internet Explorer 8 op computers met een Koreaanse of Japanse taalinstelling. IE8 is in Japan niet zo populair meer (11%), maar is in Zuid-Korea de meest gebruikte browser met een aandeel van 36%.
Wachtwoorden
Op besmette computers zocht de malware naar wachtwoorden van onder andere World of WarCraft, DK Online en Diablo III. Daarnaast wijzigde de malware het HOSTS-bestand en liet de websites van populaire Koreaanse banken naar een kwaadaardig IP-adres wijzen. De exploit voor het lek werd op een populair Koreaans blog aangetroffen.
Herkomst
Verder onderzoek naar beide zero-days lijkt erop te wijzen dat zowel CVE-2013-3893 als CVE-2013-3897, de CVE-nummers waarmee beide lekken worden aangemerkt, door dezelfde partij zijn ontwikkeld. Ondanks de overeenkomsten zit er wel een verschil in de gebruikte shellcode die de exploit uitvoert. In het geval van CVE-2013-3893, die bij de gerichte aanvallen werd ingezet, gaat het om eenvoudige code.
CVE-2013-3897 daarentegen, het lek waarmee eindgebruikers werden aangevallen, beschikt over complexe code die de aanwezigheid van verschillende anti-virusprogramma's controleert. Dit kan suggereren dat de twee exploits door dezelfde groep cybercriminelen is ontwikkeld en/of verkocht aan verschillende cybercrimegroepen, die de zero-days voor geheel verschillende doelen gebruikten", stelt Daniel Chechik.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
