32-bit IE-gebruikers doelwit van gedefacete websites
Het "defacen" van websites komt al jaren voor, maar recentelijk worden gedefacete websites voor meer gebruikt dan alleen het verspreiden van een boodschap. Bij een defacement weten aanvallers toegang tot een website te krijgen en laten daar meestal een politiek getinte boodschap achter.
Onderzoekers van Zscaler hebben onlangs verschillende gedefacete websites aangetroffen die naast een boodschap ook een verwijzing naar een exploitkit bevatte. Deze exploitkit maakt misbruik van een 19-jaar oud Windowslek dat Microsoft op 11 november van dit jaar patchte. De kwetsbaarheid kan echter alleen via Internet Explorer worden aangevallen. De exploit waar de gedefacete websites naar wijzen werkt daarbij alleen tegen ongepatchte 32-bit versies van IE.
De exploitcyclus stopt als een bezoeker een 64-bit Windowsversie, geen Windows of geen Internet Explorer gebruikt. Volgens analist Chris Mannon is het opvallend dat hacktivisten nu van exploits gebruik maken, aangezien deze groepen meestal meer geïnteresseerd zijn in het verstoren van bedrijven en overheidsinstanties, dan het aanvallen van eindgebruikers.
En natuurlijk is patchen de beste oplossing.
Maar nu zegt het artikel: "De exploitcyclus stopt als een bezoeker een 64-bit Windowsversie, geen Windows of geen Internet Explorer gebruikt." Echter "Internet Explorer" is niet alleen maar een benaming voor de IE -browser.
Wat ik mij dus nu afvraag: stel ik gebruik in een bepaalde situatie even een oude (ongepatchte) Win-doos als surf-client.
Hierin is standaard IE aanwezig. Maar in de praktijk gebruik ik de IE browser helemaal niet,
maar heb bijv. Firefox of Chrome ingesteld als de default browser, en die gebruik ik alleen maar.
Je zou kunnen denken dat je nu veilig bent voor deze ene bug. Maar is dat wel zo?
Want soms lijkt het dan toch te gebeuren dat het systeem IE-functies gaat aanspreken i.p.v. Firefox of Chrome.
Of het bij iedere Windows versie gebeurt weet ik niet, maar als ik bijv. een html-bestand op de PC selecteer
(zonder het bestand echt te openen) dan kan het zijn dat de "mini preview" ervan wordt weergegeven in "IE format".
Dit kan ik zien, omdat die preview er anders uitziet dan een volledige weergave in Firefox of Chrome als je het bestand
echt opent. Maar open ik hetzelfde html-bestand met de IE browser, dan ziet deze er wél exact zo uit als in de preview.
Dit wijst er volgens mij op, dat IE niet volledig is uitgeschakeld als je een andere browser dan IE als de default browser hebt ingesteld.
Vraag: omdat blijkbaar niet alle IE-functies volledig zijn uitgeschakeld, ben je dan in zo'n geval stiekem toch nog kwetsbaar voor zulke aanvallen op IE, ook al gebruik je zelf uitsluitend een Firefox of Chrome (default) browser?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
