Dat melden de onderzoekers in dienst van Verizon Business in een nieuw rapport (PDF). Ze misbruiken een bug waardoor het mogelijk is om meer rechten op een Windows-machine te krijgen. De methode werkt alleen als op de aangevallen computer de Local Intranet Zone is ingesteld.

Het team van telecombedrijf Verizon Business gebruikt een bestaand geheugenlek in Microsofts browser. Daarna is de Protected Modus te omzeilen en is de hoeveelheid rechten op de machine op te schroeven. Daardoor krijgt de aanvaller uiteindelijk toegang tot een ingelogd account.

Sandboxes

De Protected Mode van Internet Explorer bestaat uit een aantal key-mechanismes die Microsoft de laatste jaren heeft toegevoegd aan Windows. De beschermde modus wordt wel beschreven als een soort 'sandbox', bedoeld om te voorkomen dat exploitatie van een browserlek kan leiden tot een aantasting van de beveiliging van het onderliggende systeem.

Ook andere bekende softwaremakers gebruiken sandbox-technieken. Adobe heeft een sandbox toegevoegd aan zijn gratis PDF-leessoftware Reader en Google heeft al enkele jaren geleden iets soortgelijks in zijn Chrome-browser gestopt. Google stopt ook een sandbox-versie van Adobe Flash in toekomstige versies van Chrome.

Local Intranet Zone

Bij de aanvalsmethode van de Verizon-onderzoekers dient de Local Intranet Zone op de machine te zijn ingeschakeld. Dat is vaak het geval voor werkstations in organisaties. In de Local Intranet Zone staat de Protected Modus namelijk standaard uitgeschakeld. De aanval gebruikt een andere exploit die code met low integrity op de client kan uitvoeren. Daarmee wordt dan een webserver gestart die op elke mogelijke poort de lokale loopback netwerkinterface (van en naar de pc zelf) kan aftappen. Dat is mogelijk ook al heeft de aanvaller weinig rechten op de machine.

Hetzelfde browserlek is vervolgens nogmaals lokaal te gebruiken waarbij code op medium integrity kan worden uitgevoerd. Daardoor heeft de aanvaller toegang tot het account van de gebruiker. Volgens de onderzoekers werkt de aanval zowel met IE7 als IE8.

Maatregelen nemen

De Verizon-onderzoekers adviseren om de Local Intranet Zone uit te schakelen en Protected Mode voor alle zones in te schakelen. Ook raden ze aan om beveiligingsmechanisme UAC (User Account Control), op Windows Vista en 7, in te schakelen op werkstations. Tot slot moeten beheerders goed controleren of gebruikers geen admin-rechten hebben.