Hackers gebruiken speciale code om functies in Internet Explorer te gebruiken die hen laten bepalen welke beveiligingssoftware en -updates er op een computer staan. Die informatie gebruiken ze om vervolgens gerichtere aanvallen uit te voeren. Dat meldt AlienVault Labs, dat heeft geconstateerd dat de tactiek bij verschillende aanvallen in de praktijk is gebracht.

Door een code op websites te zetten die slachtoffers uit zichzelf bezoeken kan IE onder meer bepaalde taken uitvoeren. Sommige tactieken zijn mogelijk in alle IE-versies, stelt AlienVault-analist Jaime Blasco. Zo checken aanvallers op de aanwezigheid van Microsofts Enhanced Mitigation Experience Toolkit (EMET), wat het lastiger maakt om lekken te exploiteren.

Via res:// is het mogelijk om de aanwezigheid van specifieke afbeeldingen binnen een dll- of exe-file te controleren, wat aangeeft of bepaalde software is geinstalleerd. Volgens BBlasco werkt deze methode in IE8 en ouder. De aanwezigheid van 16 verschillende antivirusprogramma's is op deze manier vast te stellen.

Code ook in populaire exploitkit

De verkenningsaanvallen zouden volgens AlientVault niet alleen worden gedaan door hackers die gerichte aanvallen op organisaties willen uitvoeren, maar ook door 'gewone' cybercriminelen. De gebruikte code is inmiddels ook in een bekende exploitkit opgedoken. De exploitkit controleert de aanwezigheid van bepaalde virusscanners. AlienVault meldt niets over de kwetsbaarheid van andere browsers voor dit type 'verkenningsaanvallen'.