image

"Microsoft moet noodpatch voor IE-lek overwegen"

zondag 7 november 2010, 13:32 door Redactie, 3 reacties

Microsoft moet een noodpatch voor een gapend gat in alle ondersteunde versies van Internet Explorer overwegen, nu aanvalscode die het lek misbruikt in een exploit-toolkit is aangetroffen. Daardoor is grootschalig misbruik een stuk eenvoudig geworden. De nieuwste zero-day kwetsbaarheid werd woensdag gerapporteerd. In eerste instantie ging het om gerichte aanvallen tegen verschillende bedrijven, maar vrijdag werd bekend dat er inmiddels een tweede backdoor actief was die ook via de kwetsbaarheid systemen infecteerde. De aanvalscode was toen nog niet bij de meeste cybercriminelen bekend, iets wat in twee dagen tijd veranderd is.

Noodpatch
Roger Thompson van het Tsjechische anti-virusbedrijf AVG waarschuwt dat de exploit voor CVE-2010-3962 in de populaire Eleonore exploit-kit is aangetroffen. Dat betekent dat iedereen voor een paar honderd dollar over een zero-day exploit voor IE6, 7 en 8 kan beschikken, merkt Thompson op.

Volgens de virusbestrijder moet Microsoft dan ook het uitbrengen van een out-of-band patch overwegen. Volgens Jerry Bryant van het Microsoft Security Response Center is het lek niet ernstig genoeg om een noodpatch te rechtvaardigen. De softwaregigant laat in de advisory een ander geluid horen, waarin het de mogelijkheid van een out-of-band update wel open houdt.

Reacties (3)
07-11-2010, 14:15 door Bitwiper
Naast dat deze exploit, zoals bovenstaand artikel vermeldt, in de Eleonore kit is aangetroffen, staat ie ook "gewoon" op sites zoals http://www.exploit-db.com/exploits/15421/. N.b. mogelijk dat de Eleonore exploit voorziet in DEP en/of ASLR bypasses, dat doet de exploit op exploit-db niet. Daarom werkt de laatstgenoemde niet voor MSIE8, maar wel voor MSIE6 en MSIE7.

http://www.heise.de/security/meldung/Exploit-fuer-Zero-Day-Luecke-im-Internet-Explorer-verfuegbar-1131668.html (Duitstalig) bevestigt (na eigen onderzoek) dat de exploit zoals deze op exploit-db te vinden is, gewoon werkt onder MSIE6 en MSIE7 (tenzij die browsers achteraf beveiligd zijn).

Gebruikers van oudere browsers dan MSIE8 verwijst Heise naar http://blogs.technet.com/b/srd/archive/2010/11/03/dep-emet-protect-against-attacks-on-the-latest-internet-explorer-vulnerability.aspx, waarin o.a. beschreven wordt hoe DEP en ASLR enige bescherming kunnen bieden tegen dit soort exploits (voorkomen kunnen ze ze niet, en er is voortdurend onderzoek naar het "bypassen" van DEP en ASLR).

Volgens Heise kunnen gebruikers van MSIE7 het beste de tweede Fix-It tool downloaden vanaf http://support.microsoft.com/kb/2458511 en deze draaien; deze schakelt DEP beveiliging in voor MSIE7 en biedt daarmee enige bescherming.

Het blijven natuurlijk allemaal workarounds, en ik ben het er dan ook mee eens dat Microsoft snel met een echte fix moet komen.
07-11-2010, 14:43 door spatieman
geen IE gebruiken is ook een optie.
08-11-2010, 10:14 door Mysterio
Geen IE gebruiken is geen oplossing voor het probleem. Op z'n best voor dit probleem. Het is wachten tot Firefox of dergelijke deze week weer aan de beurt is met een ander lek. Helaas zit er niets anders op dan hopen dat Microsoft snel actie kan ondernemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.