Onderzoekers hebben code vrijgegeven die misbruik maakt van een ongepatcht gat in Internet Explorer 6 tot en met 8. Met deze code is het mogelijk om via een speciaal gemaakte website malafide code uit te voeren op de computer van het slachtoffer. Vervolgens kan de hacker de computer overnemen.

Microsofts beveiligingsfuncties Data Execution Prevention (DEP) in Windows XP tot en met 7 en Address space layout randomization (ASLR) in Windows 7 stoppen de kwaadaardige code niet. Beide functies zijn ontworpen om ongeaturoriseerde bestanden tegen te houden.

Misbruik van CSS

De bug werd ontdekt door het Franse beveiligingsbedrijf Vupen. Begin deze maand werd bekend dat er misbruik van de HTML-machine van IE gemaakt kan worden door het gebruiken van de ‘@import’ functie van CSS-bestanden. Daarmee is het mogelijk om externe CSS-bestanden aan een bestaand document toe te voegen.

Vupen bevestigde op 9 december al dat het lek er was in Internet Explorer 8 op Windows XP, Vista en 7 en in Internet Explorer 6 en 7 op Windows XP. Vupen maakte een exploit voor het gat maar publiceerde die code alleen voor hun eigen klanten. Die konden het dan gebruiken om hun systeem te testen.

Code op een Chinees weblog

De bug kwam deze week desondanks in de openbaarheid. Het bedrijf Abysssec Security Research zette een video met een voorbeeld van de aanval op haar website. Beveiligingsonderzoeker Joshua Drake voegde daarna een werkende exploit in testkit Metasploit toe. Hij zou de code gevonden hebben op een Chinees weblog.

Volgens beveiligingsspecialist HD Moore, bedenker van Metasploit, werkt de code die aan dat framework is toegevoegd betrouwbaar op IE8 in Windows 7 maar is het iets minder betrouwbaar in Internet Explorer op Windows XP en Vista.

Beveiliging omzeilen door .NET

De exploit weet beveiligingen als DEP en ASLR, die standaard ingebouwd zijn in Windows, te omzeilen door zich te koppelen aan verouderde dll-files van het .NET-framework waar die beveiliging niet op geactiveerd is. Volgens Moore is de koppeling aan verouderde bestanden niet voorbehouden aan deze exploit. Hij waarschuwt dat het met iedere exploit kan als Microsoft het laden van verouderde besturingsbestanden van .NET niet blokkeert.

Microsoft zegt naar het gat in Internet Explorer te kijken. Omdat de softwaregigant deze maand al patches voor Internet Explorer uitbracht tijdens Patch Tuesday is het mogelijk dat gebruikers nog tot februari moeten wachten op een oplossing. Het softwarebedrijf brengt normaal gesproken slechts eens in de twee maanden een patch voor de browser uit.