Een gloednieuwe exploit voor IE9 omzeilt alle beveiligingsmaatregelen in de nieuwste Windows-versie. "Een volledig gepatcht systeem valt te kraken."

De exploit gebruikt een openstaand (0-day) lek in Internet Explorer 9 en omzeilt daarbij de extra beveiligingsmaatregelen van Windows 7. De nieuwste versie van Microsofts besturingssysteem, compleet met service pack 1 (SP1), is kwetsbaar. Dat  meldt het Franse beveiligingsbedrijf Vupen, dat eerder ook al een groot gat in IE8 heeft blootgelegd.

'Betrouwbaar'
Volgens Vupen is de nieuwe exploit "betrouwbaar", dus voor kwaadwillenden een goed middel om Windows 7-pc's aan te vallen om malware naar keuze uit te voeren. Het omzeilt Windows' aanvullende beveiliging  ASLR,  DEP en de code-isolatie (sandbox) in IE9.

"De exploit gebruikt twee aparte kwetsbaarheden. De eerste staat uitvoering van willekeurige code toe in de IE9-sandbox. De tweede staat omzeiling van de sandbox toe om dan volledige rechten voor code execution te krijgen", zegt directeur Chaouki Bekrar van Vupen. Hij antwoordt via mail op vragen van Webwereld.

Zelf gemaakt
Het gevaar is tot op heden nog enigszins beperkt: de exploitcode is namelijk niet 'in het wild' waargenomen, maar geheel door Vupen zelf ontdekt én gemaakt. "We hebben de misbruikbaarheid van de kwetsbaarheid bevestigd en een exploit gemaakt die werkt met IE9 op Windows 7 en op Windows 7 SP1. De exploit omzeilt alle security-beschermingsmaatregelen, inclusief DEP, ASLR en IE's sandbox, die Protected Mode heet."

Bekrar verklaart dat de kwetsbaarheid, eigenlijk twee stuks dus, niet publiekelijk bekend is en dat de exploit ook niet rondwaart. "Toegang tot onze code en de diepgaande analyse van de kwetsbaarheid is beperkt tot onze overheidsklanten, die deze informatie gebruiken om hun kritieke infrastructuren te beschermen." De zelfgemaakte exploitcode is dus beschikbaar voor overheidsorganisaties, als die klant zijn van Vupen.

Ook IE8, 7 en 6
IE9 zal niet bij veel overheden, of zelfs bedrijven, in gebruik zijn. Het lek zit echter ook in oudere versies van Microsofts webbrowser. "De kwetsbaarheid raakt Internet Explorer 9, 8, 7 en 6. Het komt voort uit een ' use-after-free' error in de library mshtml.dll."

De fout treedt op wanneer de browser een bepaalde combinatie van html- en JavaScript-code krijgt voorgeschoteld. Vupen adviseert alle IE-gebruikers dan ook om JavaScript uit te schakelen. "Of om een andere webbrowser te gebruiken die niet wordt geraakt door deze kwetsbaarheid."

IE9 en XP
De door Vupen gemaakte exploitcode werkt alleen op IE9. Die nieuwste versie is net uit en wordt nog niet verspreid via Windows Update. Volgens metingen van marktmonitor NetApplications heeft IE9 nu een marktaandeel van 3,6 procent onder Windows 7-gebruikers.

Windows 7 heeft zelf wereldwijd een marktaandeel van bijna 25 procent. In Nederland is dat groter: eenderde, maar hier is XP nog altijd nipt groter. Gemeten naar alle pc-gebruikers heeft IE9 volgens NetApplications slechts

" jquery1301991192818="21">slechts 1,04 procent marktaandeel. Concurrent StatCounter toont IE9 niet eens als aparte browser, maar schaart het onder 'overig'. IE9 kan alleen worden geïnstalleerd op Windows 7 en Vista.

Webwereld

Published On: 05-04-11|Categories: nieuws|

Deel dit bericht