Het zero day-lek in Internet Explorer en Edge dat Microsoft dinsdag patchte blijkt al sinds 2014 te zijn gebruikt bij het infecteren van internetgebruikers via besmette advertenties. De kwetsbaarheid laat een aanvaller informatie over het systeem achterhalen en werd vorig jaar voor het eerst gerapporteerd.

Beveiligingsbedrijven Trend Micro en Proofpoint rapporteerden de kwetsbaarheid dit jaar aan Microsoft, waarop het beveiligingslek door de softwaregigant werd opgepakt. Verder onderzoek wees uit dat het beveiligingslek door twee groepen cybercriminelen werd gebruikt. Deze groepen maakten gebruik van besmette advertenties om internetgebruikers met malware te infecteren.

Voordat de daadwerkelijke infectie plaatsvond, bijvoorbeeld via een kwetsbaarheid in Adobe Flash Player of Internet Explorer, werd het informatielek in Microsofts browsers gebruikt om informatie over het aangevallen systeem te verzamelen. Zo konden de aanvallers bepalen of het aangevallen systeem van een onderzoeker of een geautomatiseerd systeem van een beveiligingsbedrijf was. Was dit het geval, dan werden deze systemen niet geïnfecteerd. De aanvallers konden op deze manier langere tijd onopgemerkt te werk gaan.

"Aanvallers maken steeds vaker gebruik van niet-ernstige kwetsbaarheden die maanden of jaren ongepatcht blijven. In dit geval gebruikten de aanvallers een specifieke kwetsbaarheid om detectie door onderzoekers en geautomatiseerde systemen te voorkomen, ook al waren ze met een grootschalige campagne van besmette advertenties bezig", zegt onderzoeker Kafeine van beveiligingsbedrijf Proofpoint. Hij stelt dat softwareleveranciers, organisaties en gebruikers meer aandacht voor patching moeten hebben en onderzoekers naar nieuwe methodes moeten kijken om kwaadaardige activiteiten op internet te ontdekken.