Het einde is nog niet in zicht voor het onderzoek naar de geavanceerde inbraak (Operation Aurora) bij systemen van Google en andere Amerikaanse bedrijven, waaronder Adobe, Yahoo, Juniper en Defensie-leverancier Northrop. Het is al wel duidelijk dat een gloednieuw, ongepatcht beveiligingsgat in Internet Explorer (IE) is gebruikt.

Dat gat zit in versies 6, 7 en 8 op Windows 2000, XP, Server 2003, Vista, Server 2008, 7 en Server 2008 R2 (Release 2). Een gat in de PDF-software van Adobe is toch niet aan de orde bij deze inbraak. Daar leek eerder wel sprake van te zijn, meldde security-bedrijf iDefense dat nu die verklaring weer intrekt.

Rijp voor misbruik

Code om dat zero day-gat in IE te misbruiken is niet alleen uitgelekt, maar inmiddels ook opgenomen in de gebruiksvriendelijke hackertool Metasploit. Deze open source-tool is bedoeld om security-experts te helpen hun systemen te beschermen tegen aanvallen. Metasploit valt natuurlijk ook te gebruiken door kwaadwillenden.

Security-onderzoeker Dave Marcus van McAfee vertelt de IDG Nieuwsdienst dat de exploitcode al is gebruikt voor aanvallen. Microsoft bevestigt dit in een security bulletin over dit lek, maar benadrukt dat het beperkte - maar gerichte - aanvallen gaat om dit lek te misbruiken in IE versie 6.

IE6 voorop

De nu openbare exploitcode voor het IE-gat is namelijk nog wel 'gemankeerd' doordat het vooralsnog alleen werkt op die antieke, maar nog altijd veelgebruikte IE-versie. Nu de code openbaar is, is waarschijnlijk dat die wordt aangepast om te werken op meer recente versies van de bij Windows meegeleverde browser. McAfee-cto George Kurtz waarschuwt op zijn blog voor wijdverbreide aanvallen.

Het gat geeft kwaadwillenden de mogelijkheid software te draaien op pc's van hun slachtoffers. Dat gebeurt door de slachtoffers simpelweg een speciaal geprepareerde webpagina te laten bezoeken. Zo zijn aanvallers van Chinese bodem binnengekomen bij Google en zeker 33 andere Amerikaanse bedrijven.

Extra patchronde

Microsoft stelt in de security advisory hierover dat het aan een patch werkt. Die komt eventueel in een extra patchronde, buiten de reguliere maandelijkse patchcyclus. Het is nog onbekend of en wanneer er een noodpatch komt.

Ondertussen somt Microsoft enkele 'beperkende factoren' op voor deze kwetsbaarheid. Zo is de exploitcode tegen te houden door beschermende maatregelen als het aanzetten van Data Execution Protection (DEP) in IE, de Protected Mode van die browser op Windows Vista en 7, en het ingelogd zijn als gebruiker met beperkte rechten.

Verschillende onderzoekers zeggen dat het erg moeilijk is om de aanvalscode echt goed werkend te krijgen op Windows Vista of Windows 7, vanwege de ingebouwde geheugenbescherming op die nieuwere Windows-versies.

Toch is het volgens security-expert Marcus van McAfee waarschijnlijk dat Microsoft een extra patchronde inlast. “Dit gat is voor de meeste slechteriken te aantrekkelijk om negeren.” De oorspronkelijke exploit werkt namelijk op alle IE-versies vanaf 6, dus het gat is wel degelijk breed aanwezig. Bovendien is het meest kwetsbare Windows XP ook de meestgebruikte versie van Microsofts besturingssysteem.

'Mijd IE'

Het Duitse Federaal Bureau voor Veiligheid in de Informatietechnologie (BSI) heeft al geadviseerd om over te stappen op een andere browser. In ieder geval tot Microsoft dit lek heeft gedicht.

Vorig jaar heeft zelfs Microsoft bedrijven al opgeroepen om van IE6 over te stappen naar een modernere versie. Maar voor veel bedrijven is het moeilijk om IE6 los te laten, omdat te veel bedrijfssoftware afhankelijk is van de Microsoft-eigen standaarden in die oudere webbrowser. De oproep van de Windows-maker zelf is dan ook niet meer dan een verzoek; er wordt geen actie aan gekoppeld.

Aurora-exploit gebruiken in Metasploit:

The "Aurora" IE Exploit in Action from The Crew of Praetorian Prefect on Vimeo.