"Een gebruiker, Hoodie22, heeft bij ons het IE-lek gemeld", zegt woordvoerder Martijn Groenewegen van het Nationaal Cyber Security Centrum (NCSC). Deze persoon wou het niet direct bij Microsoft melden, vertelt Groenewegen aan Webwereld. "Het is onbekend waarom."

Eigenlijke melder legt uit

Webwereld heeft zelf woensdagnamiddag nog contact weten te leggen met Hoodie22. Hij laat weten niet per sé Microsoft te willen vermijden wat betreft het melden van de kwetsbaarheid. "Het is meer dat ik dacht dat het misschien iets sneller zou gaan als ik het bij het NCSC zou melden."

Verder verduidelijkt Hoodie22 dat hij eigenlijk niet het eigenlijke gat heeft gevonden, maar exploitcode ervoor. Dit is dezelfde kwaadaardige code waar zowel Microsoft als securitybedrijf Trustwave melding van maken. Deze exploit is in the wild ingezet tegen Koreaanse en Japanse gebruikers van IE8 op Windows XP. Microsoft meldt hierover: "Deze exploit is gevonden in de cache op een populaire website voor Javascript-analyse en gerapporteerd aan ons."

Valideren, bevestigen en melding doorgeven

Deze melding bij het cybersecurityorgaan van het ministerie van Veiligheid en Justitie werd ongeveer acht dagen geleden gedaan per mail. Vervolgens heeft het NCSC de claim gevalideerd; bekijken of er inderdaad sprake is van een kwetsbaarheid in de webbrowser die is meegeleverd in Windows. Dat bleek inderdaad het geval te zijn, waarna het NCSC meteen Microsoft heeft ingelicht.

"Wij hebben onze rol van informatieknooppunt opgepakt", stelt de woordvoerder van het Nederlandse centrum voor cybersecurity. "Er is kennelijk een behoefte aan het anoniem melden van kwetsbaarheden." De melder wilde wel zijn nick (Hoodie22) vrijgeven, maar verder geheel anoniem blijven.

Het door hem aangemelde gat was een zogeheten 0-day, wat betekent dat het toen nog ongepatcht was. Dat is inmiddels niet meer het geval: Microsoft heeft in zijn patchronde van deze maand een update (MS13-080) uitgebracht die zowel deze jongste 0-day (CVE-2013-3897) als de vorige (CVE-2013-3893) definitief dicht. Voor die laatste heeft Microsoft eerder wel een fix uitgebracht, waarna de exploitcode werd toegevoegd aan hacktool Metasploit.

Alle IE-versies en alle Windows-versies

Net zoals dat eerste IE-gat is het tweede geval van toepassing op alle huidige versies van die Microsoft-browser, draaiend op alle huidige Windows-versies. Dat betekent dus Internet Explorer 6 op Windows XP tot en met het op 18 oktober uitkomende IE11 op Windows 8.1.

Code die de misbruikbaarheid van het IE-gat demonstreert, is al openbaar aangetroffen:

Securitybedrijf Trustwave heeft exploitcode voor dit gat gevonden en dat ook gemeld bij Microsoft. De kwaadaardige code is al zeker een maand in gebruik (in the wild), blogt de firma. Uit analyse door Trustwave blijkt dat de malware met enige aanpassing ook werkt op Windows 7. Voor succesvol misbruik moet dan nog wel ingebouwde beveiliging (DEP, ASLR) van dat nieuwere besturingssysteem worden omzeild.

De malware begint met een malafide gif-bestand en injecteert zichzelf in diverse processen op de dan besmette computer:

Via: Trustwave. Update: Reactie van Hoodie22 toegevoegd.