Nieuws
image

IE-gebruikers zeker maand aangevallen via zeroday-lek

woensdag 15 augustus 2018, 15:30 door Redactie, 4 reacties

Gebruikers van Internet Explorer zijn zeker een maand lang aangevallen via een zeroday-lek in de browser. Via de kwetsbaarheid kan een aanvaller volledige controle over de computer krijgen, alleen het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende.

Gisterenavond verscheen er een beveiligingsupdate van Microsoft voor de kwetsbaarheid. Het beveiligingslek werd op 11 juli door anti-virusbedrijf Trend Micro ontdekt bij een echte aanval. De exploit van de aanvallers maakte gebruik van een obfuscatietechniek die eerder bij een andere zeroday-aanval werd ingezet. Die aanval was gericht tegen de Windows VBScript Engine en werd in mei door Microsoft gepatcht.

Gezien de overeenkomsten tussen de exploits van mei en juli vermoedt Trend Micro dat het om dezelfde auteur gaat. Ook waarschuwt de virusbestrijder IE-gebruikers dat het mogelijk niet de laatste zeroday-aanval is. "Aangezien dit de tweede exploit in de Visual Basic-engine is die dit jaar in het wild is gevonden, is het niet vergezocht om andere kwetsbaarheden in de Visual Basic-engine in de toekomst te verwachten", zegt Elliot Cao van Trend Micro.

Veel details over de aanval worden niet door door het anti-virusbedrijf gegeven, maar een screenshot van de domeinnaam die de aanvallers gebruikten laat zien dat daarin de woorden "windows-updat" staat. Volgens Trend Micro is IE11 op Windows 10 niet kwetsbaar, aangezien VBScript standaard sinds de Fall Creators Update staat uitgeschakeld. Microsoft meldt in het beveiligingsbulletin echter dat IE11 op de meest recente Windows 10-versie wel degelijk kwetsbaar is.

Reacties (4)
15-08-2018, 16:15 door Spiff has left the building
Disabling Windows Script Host is nog altijd geen slecht idee:
https://technet.microsoft.com/en-us/library/ee198684.aspx
https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
15-08-2018, 19:42 door [Account Verwijderd]
Patch tuesday was op dinsdag 10 juli, lek ontdekt op 11 juli, patch komt uit op patch tuesday 14 augustus. Meer dan 1 maand ertussen!!!
16-08-2018, 00:12 door Anoniem
Ik gebruik meerdere browsers, ook IE11, en volgens de kop van dit bericht ben ik een maand lang aangevallen via het lek.
Nou moet ik eerlijk zeggen dat ik er niets van gemerkt heb. M'n systeem ook niet. Sterker nog, volgens een simpel HijackThis logje is er niets dat er op wijst dat er ook maar iets is aangepast.

Misschien dat de redaktie wat zorgvuldiger moet zijn met het plaatsen van suggestieve kopteksten.
IE-gebruikers waren kwetsbaar, en dat is iets heel anders, want dat zijn we allemaal, ongeacht welke browser je gebruikt, want niemand weet welke zero-days er nog rondzwerven.
16-08-2018, 00:33 door Anoniem
Door Spiff: Disabling Windows Script Host is nog altijd geen slecht idee:
https://technet.microsoft.com/en-us/library/ee198684.aspx
https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/

Precies, al sinds het begin van de grote uitbraken van VBS malware 18 jaar geleden. Desnoods hernoem je de executables, zo kun je het toch gebruiken. Dan moet je ook de links voor alle extensies en CLSID's aanpassen (c.q. verwijderen). Dat vergt wel wat extra handelingen bij updates.

Ook een goede preventieve/defensieve maatregel is het onmogelijk te maken bestanden uit te voeren vanuit de TEMP en TMP paden. Malware (droppers) kunnen bestanden wegschrijven in de temp directory maar niet uitvoeren.

Als je een werkende temp directory nodig hebt pas je eerst in een nieuwe sessie de paden van de variabelen aan naar een andere plaats.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search