In een poging om nog snel van het nog altijd ongepatchte beveiligingslek in Internet Explorer misbruik te maken, hebben meerdere hackergroepen zich op de kwetsbaarheid gestort. Dat zegt Darien Kindlund, senior staff scientist bij het Amerikaanse beveiligingsbedrijf FireEye, tegenover Security.nl. De kwetsbaarheid in Microsoft's browser werd begin deze week door onderzoeker Eric Romang onthuld.

Die kwam de zero-day exploit per toeval op een server tegen, wat volgens Kindlund zeer waarschijnlijk een testserver was. De exploit was volgens FireEye al voor de ontdekking door Romang tegen tenminste één organisatie gebruikt. "De exploit bevond zich in een testfase voor een nieuwe campagne. Dit was de tweede ronde van die campagne." Daarbij probeerden de aanvallers een Flash object rond het beveiligingslek te wikkelen om het zo lastiger voor onderzoekers te maken om de aanval te analyseren.

Door de ontdekking hebben de aanvallers er meer druk achtergezet om de kwetsbaarheid ook te misbruiken. "Wie zien deze grote toename van meerdere groepen, die een laatste poging wagen om organisaties via dit lek aan te vallen, omdat ze weten dat de tijd om een succesvolle aanval uit te voeren steeds korter wordt." Kindlund merkt op dat door de toevoeging van de exploit aan Metasploit iedereen er nu toegang toe heeft.

Doelwit
Waren in eerste instantie defensiebedrijven het doelwit, nu worden ook andere organisaties aangevallen. "We hebben aanvallen op non-profit organisaties en de juridische sector gezien", merkt de onderzoeker op. De aanval is in aard een drive-by download aanval. Volgens Kindlund hebben de aanvallers die inmiddels op steeds meer populaire websites geplaatst. Het bezoeken van zo'n website met een kwetsbare Internet Explorer zorgt ervoor dat aanvallers malware op het systeem kunnen installeren.

Onder de gehackte websites bevinden zich non-profit en openbare websites. "Op dat moment wordt het meer een opportunistische aanval. De omvang van de aanval en wie de slachtoffers zijn is dan ook aan het groeien."

Inmiddels zijn er drie backdoors ontdekt die bij de aanvallen gebruikt zijn. Het gaat om een variant van Poison Ivy, Plug-X en een nog naamloze backdoor die compleet verschilt van de andere twee backdoors, laat Kindlund weten. Daardoor wordt aangenomen dat er ook drie groepen achter de aanvallen zitten.

Wat betreft de aanvallen zijn inmiddels ook eindgebruikers getroffen. En dat aantal zal nog veel groter worden als de aanvalscode voor het IE-lek aan exploit-kits zoals BlackHole wordt toegevoegd. Kindlund merkt op dat in het geval van een recent Java-lek de maker van BlackHole ongeveer een week nodig had om de exploit toe te voegen en hij verwacht dat dit nu weer het geval zal zijn.

Advies
Wat betreft het advies van Microsoft om de gratis Enhanced Mitigation Experience Toolkit te gebruiken stelt Kindlund dat dit met name binnen bedrijven voor systeembeheerders een uitdaging kan zijn om uit te rollen. "Het vereist behoorlijk wat tuning om goed te werken, zeker met zelf ontwikkelde applicaties."

De onderzoeker begrijpt dan ook het advies van de Duitse overheid om Internet Explorer te dumpen. "Er zijn waarschijnlijk allemaal afdelingen en ministeries die 'custom' applicaties gebruiken. Als er allemaal standaard applicaties worden gebruikt is EMET een prima oplossing, maar in realiteit is het wisselen van browser in dit soort omgevingen een eenvoudigere tactiek dan het uitrollen van een tool die niet officieel door Microsoft als een volwaardige productlijn wordt ondersteund."

Eindgebruikers
Ook voor de Duitse bevolking begrijpt Kindlund het advies, aangezien de aanval via een drive-by download verloopt. "De exploit kan op een populaire website worden gehost, waardoor ook eindgebruikers risico lopen." Dit jaar slaagden aanvallers in Nederland erin om malware via Nu.nl en Telegraaf.nl te verspreiden.

De onderzoeker erkent echter dat de groepen die nu met het lek bezig zijn weinig interesse in eindgebruikers hebben. Toch hebben er ook aanvallen tegen eindgebruikers plaatsvonden die nog niet openbaar gemaakt zijn, mede omdat aanvallen op organisaties meer aandacht krijgen", zo laat de onderzoeker weten.

"Maar feit is dat dit lek bestaat en wijdverbreid is. Dat zal ook doorsnee cybercriminelen aantrekken, die graag de systemen van eindgebruikers infecteren. Het is slechts een kwestie van tijd voordat meer eindgebruikers door dit lek worden aangevallen", zo waarschuwt Kindlund.