Een beveiligingslek in Internet Explorer waardoor aanvallers informatie over geïnstalleerde beveiligingssoftware op de computer konden achterhalen en dat dinsdag door Microsoft werd gepatcht was zeker al zo'n anderhalf jaar bekend. Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten.
Bij de aankondiging van Security Bulletin MS14-052 maakte Microsoft duidelijk dat één van de lekken die de update verhelpt al actief door aanvallers bij gerichte aanvallen was ingezet. Nu blijkt dat de kwetsbaarheid al geruime tijd bekend is. Vorig jaar april werd er namelijk al door een onderzoeker voor het "XMLDOM-lek" gewaarschuwd.
Via deze kwetsbaarheid kan een aanvaller achterhalen wat voor anti-virussoftware een potentieel doelwit op de computer heeft geïnstalleerd, alsmede de aanwezigheid van de Microsoft Enhanced Mitigation Experience Toolkit (EMET). Deze informatie zouden aanvallers vervolgens voor verdere aanvallen kunnen gebruiken om bijvoorbeeld detectie door een virusscanner te omzeilen.
De onderzoeker die het probleem bekendmaakte publiceerde ook een proof-of-concept om de aanval te demonstreren. Deze proof-of-concept werd vervolgens door een groep cybercriminelen bij gerichte aanvallen gebruikt. Zo werd het informatie-lek in IE onder andere begin dit jaar ingezet op de Amerikaanse website van "Veterans of Foreign Wars" (VFW), die door de aanvallers was gehackt.
"Deze groep aanvallers is zeer geavanceerd en effectief in hun technieken en operatie, en heeft meerdere zero day-aanvallen gebruikt",zegt analist Kurt Baumgartner. Volgens Baumgartner heeft de XMLDOM-truc van de groep zeer waarschijnlijk geholpen om de ontdekking van hun zero day-lek in Internet Explorer en aanwezigheid op de gehackte VFW-server te vertragen.
Deze posting is gelocked. Reageren is niet meer mogelijk.