In december werden gebruikers van Internet Explorer 8 aangevallen via een onbekend beveiligingslek in de browser, een zogeheten zero-day waarvoor nog geen beveiligingsupdate beschikbaar was. De kwetsbaarheid werd eind december door verschillende partijen ontdekt, maar was al sinds 7 december actief, zo ontdekte beveiligingsonderzoeker Eric Romang.

Het ging voornamelijk om 'drinkplaats-aanvallen', waarbij de aanvallers een website hacken die potentiële slachtoffers al uit zichzelf bezoeken. In totaal zouden de aanvallers zo'n 40 websites hebben gehackt. Het ging niet alleen om websites die potentiële slachtoffers bezochten, maar ook om sites om de exploit voor het lek in IE8 te plaatsen.

Eén van deze websites was alljap.net, een Australische importeur van tweedehands Japanse automotoren en auto-onderdelen. De website draaide verouderde versies van phpmyfaq en wwwboard tools. Romang ontdekte dat de aanvallers twee PHP backdoors hadden geplaatst om toegang tot de server te behouden. Om hun identiteit te maskeren gebruikten de aanvallers een wirwar aan VPN-verbindingen.

Succes
De exploit op alljap.net werd gebruikt voor een aanval op Global Business Network (GBN.com). De aanvallers hackten deze site en plaatsten een link naar alljap.net. Romang wist toegang tot de logs van alljap.net te krijgen en kon zo het succes van de aanval meten, die tussen 7 en 17 december plaatsvond.

In die periode kreeg de exploit-link van de Top 10 landen 690 bezoekers te verduren. In totaal waren er in de Top 10 landen 72 mensen die zeer waarschijnlijk via de exploit geïnfecteerd raakten. Een succespercentage van 11%.

"Je kunt zien dat de potentiële succesratio vergeleken met de bezoekers van GBN erg laag is. Het feit om een zero-day te gebruiken die alleen Internet Explorer 8 kan aanvallen was duidelijk een beperking", concludeert Romang. Het lek in IE werd op 14 januari door Microsoft gepatcht via een noodpatch.