Race tussen hackers en Microsoft over IE-lek
Weet Microsoft het zeer ernstige zero-day lek in Internet Explorer op tijd te patchen of zijn het straks hackers die een betrouwbare en werkende exploit als eerste naar buiten brengen, is een vraag die beveiligingsexperts bezighoudt. Microsoft waarschuwde begin deze week voor de nieuwe kwetsbaarheid die in IE6 en IE7 aanwezig is, en aanvallers volledige controle over het systeem geeft als de gebruiker een kwaadaardige of gehackte website bezoekt. De gepubliceerde aanvalscode werkt, maar is niet betrouwbaar.
"Dit is duidelijk een ernstig lek en zo slecht als het wordt", zegt Ben Greenbaum van Symantec. "Het is een race, ja dat is het zeker." Ook Wolfgang Kandek van Qualys ziet het als een race. "Het komt erop neer of Microsoft het als eerste kan patchen of dat de aanvallers iets maken dat betrouwbaar werkt." Inmiddels zijn er al verschillende varianten van de originele aanvalscode verschenen. "Aanvallers werken dus aan meer betrouwbare versies." Het ontwikkelen van een altijd werkende exploit is niet eenvoudig, maar ook geen onmogelijke opgave. "Het is niet triviaal, maar ook weer niet de heilige graal van computing", gaat Greenbaum verder.
Patchdinsdag
Microsoft adviseert om DEP in te schakelen of de beveiliging van IE6 en IE7 aan te scherpen. Daarnaast kunnen gebruikers ook naar IE8 overstappen, aangezien deze versie niet kwetsbaar is. Kandek noemt Microsoft's suggesties vrij complex. "En niet bruikbaar voor de meeste gebruikers." Door de configuratie aan te passen zou JavaScript niet meer werken, wat de browser zo goed als onbruikbaar maakt. Verder is het voor bedrijven onbegonnen werk om snel naar IE8 te migreren.
De volgende patchdinsdag staat voor dinsdag 8 december gepland, maar de experts verwachten niet dat Microsoft het lek op tijd gepatcht krijgt. "Ik denk niet dat het zal gebeuren. IE is belangrijke software en Microsoft zal de patch goed willen testen", gaat Kandek verder. In het verleden had de softwaregigant altijd minimaal een maand nodig om een lek in de browser te dichten, tenzij het aantal aanvallen in "het wild" toenam. Microsoft heeft nog geen aanvallen gezien. "Maar er is zeker activiteit gaande. Aanvallers testen het water om te zien hoe goed de verschillende exploits werken", besluit Kandek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.