Het ernstige beveiligingslek in Internet Explorer waar vrijdag een noodpatch voor verscheen was zeker al een maand en mogelijk 462 dagen al bij Microsoft bekend. In de security advisory bedankt de softwaregigant een anonieme onderzoeker die het probleem had ontdekt en via het Zero Day Initiative (ZDI) bij Microsoft rapporteerde. Security.nl meldde dit vrijdag al, maar nu heeft ook Eric Romang zich in de discussie gemengd.
Romang maakte de kwetsbaarheid openbaar, nadat hij een exploit op een server ontdekte die misbruik van het toen nog onbekende lek maakte. "Dit betekent dat de kwetsbaarheid nog voor mijn ontdekking door een andere onderzoeker was ontdekt, gemeld aan ZDI, die het vervolgens aan Microsoft rapporteerde", zo laat Romang op zijn eigen weblog weten.
Aan de hand van de publicaties van ZDI is het lastig om te bepalen wanneer het lek nu precies was gemeld. De laatst gerapporteerde Microsoft kwetsbaarheid dateert van een maand geleden, terwijl de eerste 462 dagen oud is. Dat komt uit op een gemiddelde van 168 dagen.
China
De vraag is nu hoe de kwetsbaarheid in handen van vermoedelijk Chinese hackers is gekomen. Romang merkt op dat HP de gerapporteerde beveiligingslekken gebruikt voor de eigen intrusion prevention systemen. Klanten zijn zo beschermd tegen aanvallen terwijl de softwareleverancier aan een update werkt. Daardoor is het mogelijk dat de apparaten zijn 'gereverse engineered', hoewel Romang zich afvraagt of de lekken ook niet zijn verkocht.
Beveiligingsexpert Robert Graham stelt dat als er een grootschalige operatie door de Chinese overheid achter deze aanvallen zit, dan is het volgens hem zeker dat ze over de apparaten van TippingPoint beschikken en die gebruiken om informatie over zero-day kwetsbaarheden te vinden.
FBI
Graham demonstreerde tijdens de Black Hat conferentie dat het mogelijk is om een IPS te reverse engineeren en zo informatie over zero-days te vinden. De FBI dreigde de onderzoeker dat hij zijn lezing wegens de nationale veiligheid moest annuleren, omdat de Chinezen de methode anders ook zouden ontdekken.
"We hebben de lezing toch gegeven, omdat we vonden dat de Chinezen dit al doen en het is iets waar iedereen van moet weten, en niet iets dat de FBI moet verbergen om TippingPoint's reputatie te beschermen."
Deze posting is gelocked. Reageren is niet meer mogelijk.