Beheer

Security
Internet Explorers

Internet Explorer nog nuttig, voor aanvallers

Plots een kritieke noodpatch voor Internet Explorer. Ook voor als je IE niet gebruikt.

20 december 2018

Plots een kritieke noodpatch voor Internet Explorer. Ook voor als je IE niet gebruikt.

Microsoft heeft onaangekondigd en buiten de reguliere patchcyclus om een kritieke patch uitgebracht voor Internet Explorer. Deze noodupdate dicht een 0-day gat in versies 9, 10 en 11 van de Windows-browser. Deze kwetsbaarheid wordt al actief misbruikt door aanvallers, waarschuwt ontdekker Google.

Terwijl Microsoft het fundament onder zijn eigen Edge-browser gaat vervangen, zit de Windows-maker ook nog met zijn oudere Internet Explorer. Die webbrowser is officieel uit de gratie gegaan, maar kan qua marktaandeel nog bogen op zo'n 11 procent, volgens cijfers van NetApplications. Daarmee is het door Microsoft verlaten IE groter dan opvolger Edge (met ruim 4 procent van de desktopmarkt) en ook concurrent Firefox (10 procent).

Alle IE- en Windows-versies

Officieel genieten IE-versies 9, 10 en 11 nog ondersteuning door Microsoft. Vannacht heeft de softwaremaker deze legacyverplichting ingevuld door een noodpatch uit te brengen. Deze dicht een 0-day kwetsbaarheid die bij Microsoft is gemeld door Google. Deze 0-day is niet publiekelijk bekend, maar wordt in de praktijk al wel uitgebuit door aanvallers.

Naast de via Windows Update nu gedistribueerde patch biedt Microsoft ook workarounds om de impact van de kwetsbaarheid te beperken. Dit omvat het beperken van toegang tot JScript.dll, aangezien de misbruikte geheugencorruptie voor remote code execution schuilt in de scripting-engine van Internet Explorer.

Via dit beveiligingsgat in IE kunnen kwaadwillenden eigen code op afstand uitvoeren op Windows' clientversies 7, 8.1 en 10, plus op Windows' serverversies 2008, 2012, 2016 en 2019. Deze kwaadaardige code draait dan met de rechten van de ingelogde gebruiker. Microsoft heeft voor alle drie de ondersteunde IE-versies op al deze ondersteunde Windows-versies zijn noodpatch uitgebracht.

Een subtiele uitzondering geldt voor de oudere 1607- en 1703-releases van Windows 10, die stammen van respectievelijk de zomer van 2016 en de lengte van 2017. Voor algemeen gebruik hebben die voorgaande releases geen support meer, maar voor Enterprise- en Education-klanten nog wel. De nu uitgebrachte noodpatch is wel beschikbaar voor organisaties met een Enterprise- of Education-supportcontract.

IE inside

In de praktijk wordt Internet Explorer niet meer zo veel gebruikt als vroeger, maar de door NetApplications gemeten 11 procent is nog altijd redelijk groot. Bovendien ontbeert IE veel van de geavanceerde security- en isolatietechnieken die de afgelopen paar jaar zijn ontwikkeld, voor modernere browsers zoals Edge, Chrome en Firefox. Daarnaast kan het bij IE-gebruikers gaan om organisaties die een specifiek, interessant doelwit kunnen zijn én die mogelijk meer oudere, kwetsbare software in hun infrastructuur draaien.

Echter, doordat Microsofts oudere browser is ingebouwd in Windows (inclusief in het huidige Windows 10), zijn via omwegen ook non-gebruikers van IE op de korrel te nemen. Onder bepaalde omstandigheden kan Windows een bepaald bestandstype openen in zijn oudere browser, wat dan door sluwe aanvallers valt te benutten om deze 0-day uit te buiten. De voornaamste aanvalsmethode voor deze 0-day is gebruikers middels bijvoorbeeld een malafide mail naar een besmette website lokken, met Internet Explorer.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.