Een beveiligingslek in Internet Explorer dat recentelijk werd ontdekt en waarvoor Microsoft een noodpatch uitbracht, is zeker via 19 websites misbruikt. Het gaat onder andere om websites die voor zogeheten 'drinkplaats-aanvallen' zijn ingezet. Het zijn vaak specifieke, vakinhoudelijke websites waar het doelwit van de aanvallers uit zichzelf naar toe gaat. Door die websites te hacken en daar exploitcode op te plaatsen, hoeven de aanvallers geen spear phishingmails te versturen.
Lading
De exploit die tot de ontdekking van het lek leidde werd ontdekt op een server van de Nitro-groep. Deze groep wist eerder bij chemische en defensiebedrijven in te breken en misbruikte onlangs ook nog een onbekend lek in Java. Het Japanse anti-virusbedrijf Trend Micro ontdekte tenminste 19 websites waar de IE zero-day exploit op werd gebruikt.
"Hoewel het niet met absolute zekerheid valt te zeggen, lijken een aantal van deze sites drinkplaats-aanvallen te zijn", zegt analist Nart Villeneuve.
De 19 websites waren in 14 groepen te verdelen, zonder dat er een duidelijk verband tussen de websites onderling was. Een analyse van elf van deze groepen wees uit dat er elf verschillende payloads werden gebruikt. Het lukte niet om van de drie overige websites de payload te verzamelen.
Groepen
"Het gebruik van dezelfde zero-day exploit door verschillende aanvallers binnen een korte periode wijst erop dat de exploit mogelijk door de ontwikkelaar aan verschillende groepen is verkocht", merkt Villeneuve op.
Hij stelt dat in de meeste gevallen een zero-day exploit voor één bepaalde campagne wordt gebruikt en vervolgens door andere aanvallers wordt opgepikt, vaak als er dan al een beveiligingsupdate beschikbaar is. "Het distributiemodel dat bij deze IE zero-day werd gebruikt is gemaakt voor een maximale impact, aangezien verschillende groepen aanvallen tegen hun eigen doelwitten konden uitvoeren, terwijl er nog geen patch beschikbaar was."
Deze posting is gelocked. Reageren is niet meer mogelijk.