Een nieuw en ernstig beveiligingslek in Internet Explorer waarvoor nog geen beveiligingsupdate beschikbaar is wordt actief gebruikt om Windows-computers te infiltreren. Dat meldt beveiligingsbedrijf AlienVault Labs. De exploit voor Microsoft's browser werd deze week op de Council on Foreign Relations (CFR) portal ontdekt. Microsoft werd vervolgens gewaarschuwd aangezien het om een zero-day ging.

Het beveiligingsbedrijf wilde wachten met de publicatie van de details totdat Microsoft het onderzoek had afgerond, maar andere onderzoekers dachten hier anders over een publiceerden een aantal details. Daarop besloot ook AlienVault tot publicatie over te gaan.

De kwaadaardige code op de Council on Foreign Relations portal is een Javascript-bestand. Als eerste plaatst dit script een cookie op de computer van het slachtoffer om te controleren of dezelfde computer de link eerder heeft bezocht. Als het niet het eerste bezoek is, wordt de exploit niet geactiveerd. De volgende controle die plaatsvindt kijkt of het slachtoffer Internet Explorer 8 gebruikt.

Voor het uitvoeren van de exploit wordt Adobe Flash Player gebruikt. Het JavaScript kijkt dan ook of Adobe Flash Player op de computer aanwezig is. Als laatste wordt de exploit niet uitgevoerd als de taalinstelling van de browser Chinees, Japans, Koreaans of Russisch is.

Internet Explorer
Volgens AlienVault bevindt het lek zich in IE8. Het is echter onduidelijk of andere IE-versies ook kwetsbaar zijn. Wel is duidelijk dat zowel IE8 op Windows XP als Windows 7 risico lopen, waarbij de aanvallers zowel de data execution (DEP) en address space layout randomization (ASLR) beveiliging van Windows omzeilen.

Wordt er Windows 7 gebruikt, dan laadt de exploit Java, aangezien het de Java libraries nodig heeft om via return-oriented programming (ROP) de beveiliging van het besturingssysteem te omzeilen. Dit is niet nodig in het geval van Windows XP, waar de exploit ook zonder Java werkt.

Exploit
Zodra het JavaScript het Flash-bestand heeft geladen, wordt er een heap spray uitgevoerd. Details van de exploit-code zelf geeft AlienVault niet in afwachting van een update van Microsoft. Zodra de heap spray succesvol is en de exploit uitgevoerd, wordt de kwaadaardige code geladen en via HTTP verbinding met een command & control-server gemaakt.

Het beveiligingsbedrijf hoopt dat Microsoft snel met een update komt. Verder krijgen gebruikers het advies om geen Adobe Flash Player, Java of andere applicaties van derden in de browser te gebruiken als die niet nodig zijn.

Update 16:34
Beveiligingsonderzoeker Eric Romang laat weten dat alleen bezoekers van de CFR-website met Internet Explorer 8 en nieuwere versies het doelwit waren. Een Chinese 'reverse engineer' heeft inmiddels details over de aanval online gezet. Romang verwacht echter niet dat er nog dit jaar aan de hand van de details een exploit zal verschijnen.