Een ernstig beveiligingslek in Internet Explorer 6, 7, 8 en 9 dat vorige jaar werd gepatcht en lange tijd door cybercriminelen werd genegeerd is opeens in een exploit-kit opgedoken en op zeer indrukwekkende wijze uitgewerkt, aldus Microsoft. Het gaat om de kwetsbaarheid CVE-2012-1876; één van de twaalf lekken die door Microsoft Security Bulletin MS12-037 werden verholpen.

Het lek werd tijdens de Pwn2Own hackwedstrijd van vorig jaar ontdekt en veroorzaakt een heap overflow, waardoor het mogelijk is om willekeurige code op de computer uit te voeren en die over te nemen. Microsoft patchte het probleem in juni, waarna het lange tijd werd genegeerd, totdat een exploit die er misbruik van maakt in januari van dit jaar in de Cool EK exploit-kit verscheen.

Uitwerking
Volgens Microsoft is de manier waarop de exploit het lek misbruikt zeer interessant, omdat hiervoor een return-oriented programming (ROP) techniek wordt toegepast. Deze techniek maakt het mogelijk om meerdere versies van een DLL-bestand te identificeren en aan te vallen. De exploit bevat niet één maar 18 verschillende payloads om versies van ofmshtml.dll mee aan te vallen.

In het verleden was er meestal één payload per exploit die één specifieke versie van de module aanviel, meestal systeembestanden van Windows XP of van programma's van derden die geen address space layout randomization (ASLR) bescherming gebruikten. Door deze nieuwe techniek kan de exploit ook IE-gebruikers op Windows Vista en Windows 7 aanvallen.

Bescherming
Microsoft stelt dat de update voor Cool EK waar deze nieuwe exploit in aanwezig is nog niet wijdverbreid is, maar verwacht dat dit binnenkort zal veranderen en er meer aanvallen op ongepatchte IE-gebruikers zullen plaatsvinden. De belangrijkste bescherming is dan ook het installeren van MS12-037.