Eén van de zero-day-lekken in Internet Explorer die Microsoft deze week patchte is ingezet tegen eindgebruikers om wachtwoorden voor online games en internetbankieren te stelen, wat zeer opmerkelijk is. Zero-days zijn kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar is.

Het vinden van zero-days is een kostbare aangelegenheid en in veruit de meeste gevallen worden ze tegen zeer waardevolle doelen ingezet. Microsoft verhielp deze week twee zero-days in Internet Explorer. Slechts voor één van deze kwetsbaarheden waarschuwde Microsoft gebruikers. Het lek zou onder andere zijn gebruikt om Koreaanse en Japanse industriële ondernemingen en financiële instellingen te infiltreren.

Eindgebruikers

Er bleek echter ook nog een andere zero-day-kwetsbaarheid te worden gebruikt, die onder andere door het Nationaal Cyber Security Center aan Microsoft werd gerapporteerd. Dit lek werd sinds halverwege september tegen Japanse en Zuid-Koreaanse internetgebruikers ingezet, zo meldt Trustwave Spiderlabs. Beveiligingsbedrijf Websense stelt echter dat de exploit al sinds 23 augustus van dit jaar rondgaat.

De exploit die van het lek misbruik maakt werkt alleen tegen Windows XP met Internet Explorer 8 op computers met een Koreaanse of Japanse taalinstelling. IE8 is in Japan niet zo populair meer (11%), maar is in Zuid-Korea de meest gebruikte browser met een aandeel van 36%.

Wachtwoorden

Op besmette computers zocht de malware naar wachtwoorden van onder andere World of WarCraft, DK Online en Diablo III. Daarnaast wijzigde de malware het HOSTS-bestand en liet de websites van populaire Koreaanse banken naar een kwaadaardig IP-adres wijzen. De exploit voor het lek werd op een populair Koreaans blog aangetroffen.

Herkomst

Verder onderzoek naar beide zero-days lijkt erop te wijzen dat zowel CVE-2013-3893 als CVE-2013-3897, de CVE-nummers waarmee beide lekken worden aangemerkt, door dezelfde partij zijn ontwikkeld. Ondanks de overeenkomsten zit er wel een verschil in de gebruikte shellcode die de exploit uitvoert. In het geval van CVE-2013-3893, die bij de gerichte aanvallen werd ingezet, gaat het om eenvoudige code.

CVE-2013-3897 daarentegen, het lek waarmee eindgebruikers werden aangevallen, beschikt over complexe code die de aanwezigheid van verschillende anti-virusprogramma's controleert. Dit kan suggereren dat de twee exploits door dezelfde groep cybercriminelen is ontwikkeld en/of verkocht aan verschillende cybercrimegroepen, die de zero-days voor geheel verschillende doelen gebruikten", stelt Daniel Chechik.