Exploitcode voor misbruik is al vrijgegeven op het web én opgenomen in de hackerstool Metasploit Framework. Het nieuwe zero-day gat, waarvoor dus nog geen patch bestaat, geeft aanvallers de mogelijkheid eigen code uit te voeren op de pc’s van IE-gebruikende slachtoffers. Dat gebeurt dan wel met de rechten van de betreffende gebruiker. Ingelogd zijn als gewone gebruiker, en niet als beheerder, kan de impact van dit gat dus beperken.

ActiveX is boosdoener

De oorzaak van dit lek schuilt in de Microsoft-eigen browsertechnologie ActiveX. Het beveiligingslek is alleen aanwezig als er op de pc ook de WMI Administrative Tools (Windows Mangement Instrumentation) geïnstalleerd zijn. WMI is Microsofts implementatie van de WBEM-technologie (Web-based Enterprise Management) die gebaseerd is op enkele webstandaarden. Het lekke WMI Administrative Tools-pakket, dat vier tools omvat, is niet standaard aanwezig op Windows-pc’s.

Toch stelt beveiligingsleverancier Secunia dat dit gat ‘zeer kritiek’ (highly critical) is. Dat is de op één na hoogste schaal op de vijfstappenschaal die dat bedrijf hanteert voor lekken. De onafhankelijke Amerikaanse overheidsinstantie voor ict-beveiliging, US-CERT, acht het gevaar ook groot. Het merkt op dat er nog geen praktische oplossing is voor dit probleem.

Tegenmaatregelen

Beheerders en gebruikers kunnen of het specifieke ActiveX-component voor WMI uitschakelen, of heel ActiveX in de ban doen. Dat zorgt er echter wel voor dat de WMI-functies niet meer bruikbaar zijn. Microsoft zegt tegen ict-blad eWeek dat het nog geen meldingen van misbruik van dit lek heeft ontvangen. Het onderzoekt de zaak nu.

Dat doet de Windows-producent ook met het IE-lek dat eerder deze week naar buiten is gekomen en waarvoor ook al exploitcode beschikbaar is. Dat eerste 0-day IE-gat van deze week zit in alle ondersteunde IE-versies (6, 7 en 8) op alle ondersteunde Windows-versies (XP met SP3, Vista en 7). Microsoft heeft dit al bevestigd. Succesvol misbruik van dat gat maakt code-uitvoering mogelijk, ook met de rechten van de dan ingelogde gebruiker.

Exploitcode naar buiten

Het tweede lek, compleet met code om er misbruik van te maken, is volgens beveiligigingsbedrijf Websense geopenbaard op het Chinese securityblog WooYun.org. Daar is eerder deze week al de exploitcode voor het eerste 0-day IE-gat onthuld. Die kwaadaardige code is ook gelijk toegevoegd aan Metasploit.

Dat voorgaande 0-day lek in Internet Explorer is eind vorige maand al ontdekt door het Franse beveiligingsbedrijf Vupen, die Webwereld daar begin deze maand meer over heeft verteld. Directeur Chaouki Bekrar liet toen in een reply weten dat het gaat om een lek dat wordt veroorzaakt door geheugencorruptie en dat dit gebeurt wanneer IE speciaal aangepaste, kwaadaardige html-code probeert te verwerken.

Malafide html-code

Kwaadwillenden kunnen die malafide html-code op eigen namaaksites draaien waar ze slachtoffers heen proberen te lokken. Ook kan de kwaadaardige html-code op legitieme websites stiekem toegevoegd worden om de pc’s van gebruikers langs die weg te besmetten. Dat is onlangs nog gebeurd met malware op de ads-netwerken van Google en Microsoft.