Internetcriminelen hebben maandenlang gebruik gemaakt van een onbekend beveiligingslek in Internet Explorer dat gisteren pas door Microsoft werd gepatcht. Via de kwetsbaarheid konden aanvallers informatie over bestanden op de computer achterhalen, zoals welke software er was geïnstalleerd.

De aanvallen werden via besmette advertenties uitgevoerd. Vorige maand patchte Microsoft ook al een dergelijke kwetsbaarheid die door besmette advertenties werd gebruikt. De beveiligingslekken lieten de aanvallers controleren of de via de advertentie aangevallen computer echt van een eindgebruiker was of van een onderzoeker of beveiligingsbedrijf. Zo werd er gekeken naar de aanwezigheid van bepaalde software die erop duidde dat de aangevallen systemen in werkelijkheid een sandbox of virtual machine waren.

Veel onderzoekers en beveiligingsbedrijven werken hier mee voor het vinden en analyseren van malware. In het geval dergelijke bestanden werden aangetroffen vond de infectie niet plaats. Op deze manier konden de aanvallers lange tijd onopgemerkt hun gang gaan, aangezien de besmette advertenties niet door de systemen van beveiligingsbedrijven werden opgemerkt.

Het zero day-lek in Internet Explorer dat Microsoft gisteren patchte werd voor het eerst in april van dit jaar gezien en aan Microsoft gerapporteerd, zo meldt beveiligingsbedrijf Proofpoint. Er wordt echter niet uitgesloten dat aanvallers de kwetsbaarheid al langer in combinatie met besmette advertenties hebben ingezet. Voor zover bekend zijn de twee IE-lekken door twee verschillende groepen internetcriminelen gebruikt. Volgens Proofpoint laat dit zien dat deze groepen continu naar nieuwe browserlekken zoeken zodat ze eindgebruikers kunnen aanvallen en onderzoekers, sandbox-omgevingen en beveiligingsbedrijven kunnen vermijden.