Computerworld News Service: Et populært crimeware-kit har for nylig fået tilføjet en exploit af en sårbarhed i Internet Explorer, der endnu ikke er blevet lukket af Microsoft. Det vil sandsynligvis tvinge Microsoft til at rette fejlen med en hasteopdatering, skriver en sikkerhedsekspert søndag.
Samtidig har en prominent sårbarhedsekspert dog taget parti med Microsoft, som hævder, at fejlen vil være svær at udnytte i Internet Explorer 8, som er den mest udbredte version af virksomhedens browser.
I sidste uge advarede Microsoft brugerne af IE6, IE7 og IE8, om at hackere aktivt er i gang med at udnytte en sårbarhed i browserne ved at narre brugerne til at besøge skadelige eller kompromitterede websites. Når brugerne først er inde på et sådant site, kan de udsættes for et såkaldt "drive-by"-angreb, der ikke er afhængig af nogen handling fra brugerens side.
Symantec var først til at rapportere fejlen i IE til Microsoft, efter antivirus-leverandøren fangede spam, der gav sig ud for at være meddelelser om hotelreservationer sendt til udvalgte individer i adskillige organisationer.
I søndags skrev Roger Thompson, der er analysedirektør hos AVG Technologies, at kode til udnyttelse af det nyeste sikkerhedshul i IE var blevet tilføjet hackerværktøjet Eleonore, som blot er et ud af adskillige lettilgængelige toolkits, som kriminelle kan anvende via hackede websites til at angribe besøgendes computere.
"Dette har hævet indsatsen væsentligt, da det betyder, at enhver kan købe dette hackerværktøj for nogle få hundrede dollar og så pludselig have et fungerende 0-dagsangreb mellem hænderne," skriver Thompson på sin blog.
Microsoft har lovet at lukket sikkerhedshullet men sagde i sidste uge, at truslen ikke berettigede til en opdatering uden for det normale skema. Microsoft vil i dag, 9. november, udgive tre sikkerhedsopdateringer, men ingen af dem er forbundet med sårbarheden i IE.
Angrebene vil tage til
Roger Thompson er uenig i Microsofts vurdering af trusselsniveauet.
"Jeg tror, de bliver nødt til at opdatere uden for skema," svarer Thompson via instant messaging søndag, til spørgsmålet om Microsoft vil udgive en rettelse af IE før 14. december, hvilket er den næste planlagte opdateringsdato efter i dag.
"Jeg forventer, at angrebene vil tage til i styrke."
Men AVG - ligesom både Microsoft og Symantec - har indtil videre kun set et lille antal angreb, der udnytter denne sårbarhed.
Det er muligt, at exploiten tilføjet Eleonore er snuppet fra open source penetrationstest-værktøjet Metasploit. I torsdags tilføjede analytiker Joshua Drake nemlig et modul til udnyttelse af IE-sårbarheden til Metasploit.
"Vi ser mange exploits, der grundlæggende er taget direkte fra Metasploit," oplyser Thompson.
Microsoft opfordret sine brugere til at slå data execution prevention til i IE7, bruge IE8 eller IE9 eller køre en af virksomhedens automatiske rettelsesværktøjer, der kan tilføje en beskyttende cascading style sheet-skabelon til deres browsere, indtil der er en rettelse tilgængelig.
Sårbarheden ligger i Internet Explorers browser-engines behandling af html-sider og kan udnyttes med et særligt tilpasset CSS-tag.
Det er ifølge Microsofts sikkerhedseksperter usandsynligt, at angribere med succes kan udnytte fejlen i IE8, fordi browseren som standard har data execution prevention slået til. DEP er en forsvarsmekanisme, der er indbygget i Windows og designet til at gøre det umuligt eller i det mindste vanskeligt for hackere at udnytte fejl i nogen pålidelig grad.
Konkurrenterne går fri
H.D. Moore, der er sikkerhedsdirektør hos Rapid7 og ophavsmand til Metasploit, bakker Microsofts vurdering op.
"På grund af begrænset mulighed for overskrivning i hukommelsen, så vil det sandsynligvis være vanskeligt at udnytte denne fejl i alle versioner af IE, men tilstedeværelsen af DEP vil gøre det en endnu større udfordring i IE8," skriver Moore i en e-mail som svar på spørgsmål.
Microsoft opfordrer også sine brugere til at overveje at migrere til den endnu ufærdige IE9, som blev offentliggjort i en betaudgivelse midt i september.
Det er dog ikke muligt for brugere af IE6, som er den mest sårbare version og tilsyneladende også den, der er mål for de aktuelle angreb. Årsagen er, at stort set alle, der bruger EI6, kører Windows XP. Og IE9 fungerer ikke på XP.
Konkurrerende browsere såsom Mozillas Firefox, Googles Chrome, Apples Safari og Opera Softwares Opera er ikke sårbare over for dette CSS-tag-angreb.
Ifølge de seneste statistikker fra webanalysefirmaet Net Applications udgjorde IE8 over halvdelen af alle kopier af Internet Explorer i brug i sidste måned, mens IE6 repræsenterede omtrent en fjerdedel af alle browsere fra Microsoft i brug i samme periode.
Oversat af Thomas Bøndergaard
