Aanvallers gebruiken verschillende functies in Internet Explorer die ervoor zorgen dat er informatie over de beveiliging van een computer en geïnstalleerde software en updates kan worden opgevraagd, zonder dat gebruikers hier weet van hebben. Met de informatie kan een verdere aanval worden uitgewerkt.
Daarvoor waarschuwt het beveiligingsbedrijf AlienVault Labs, dat verschillende aanvallen heeft gezien waarbij deze tactiek werd toegepast. Voor aanvallers is het belangrijk om te weten welke software er op de computer van een potentieel doelwit geïnstalleerd is. De aanwezigheid van Microsofts Enhanced Mitigation Experience Toolkit (EMET) maakt het bijvoorbeeld lastiger om beveiligingslekken aan te vallen, zegt analist Jaime Blasco.
Door het plaatsen van code op een website die het slachtoffer al uitzichzelf bezoekt wordt het mogelijk om Internet Explorer bepaalde taken uit te laten voeren. IE blokkeert bijvoorbeeld toegang tot het lokale bestandssysteem, maar door het gebruik van res:// is het mogelijk om te kijken of er een bepaalde afbeelding binnen een DLL- of EXE-bestand op de computer aanwezig is. Is dit het geval, dan is de software geïnstalleerd. Deze truc werkte in IE8 en ouder.
Een andere techniek is aanwezig in alle ondersteunde versies van IE en maakt het mogelijk om op de aanwezigheid van bestanden en mappen te controleren. Wederom wordt er op deze manier gezocht naar aanwezige beveiligingssoftware. Bij een andere toepassing van deze techniek controleerde de code de aanwezigheid van Microsofts EMET. Was de software aanwezig, dan werd een exploit bedoeld om de computer van de gebruiker te infecteren niet uitgevoerd.
Het gebruik van IE voor verkenningsaanvallen is echter niet alleen aan partijen voorbehouden die gerichte aanvallen op organisaties uitvoeren. Een maand nadat de code bekend werd waardoor er informatie over de software op een systeem kan worden opgevraagd, verscheen die ook in een exploitkit die "doorsnee" cybercriminelen gebruiken. Daardoor controleert deze exploitkit nu op de aanwezigheid van bepaalde virusscanners. Of ook andere browsers voor dit soort verkenningsaanvallen kwetsbaar zijn laat Blasco niet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.