Gebruik van Internet Explorer zonder extra maatregelen af te raden
De aanval en het mechanisme dat daarbij gebruikt wordt, is ontdekt door Fireye Research. Het blijkt dat hackers via Internet Explorer het geheugen weten te manipuleren, en zo code kunnen binnensmokkelen waarmee ze de controle over het aangevallen systeem kunnen krijgen. Daarbij maken ze gebruik van componenten binnen het Windows-platform die niet met ASLR gecompileerd worden.
Shutterstock
Shutterstock
Die Adress Space Lay-out Randomization-techniek maakt het onmogelijk te voorspellen, waar verwerkingsresultaten in het geheugen worden weggeschreven. En dat niet weten op welk adres een binnengesmokkelde instructieset in het geheugen beland, is een behoorlijk obstakel bij het ten uitvoer brengen van die ongewenste code. Enkele Dynamic Link Libraries van Microsoft zelf en een onderdeel van Adobes Flash blijken zich echter te onttrekken aan het ASLR-mechanisme.
Nog geen patch
Het probleem zit in alle versies van Internet Explorer, al zijn op dit moment alleen aanvallen geconstateerd tegen versies 9, 10 en 11. Een patch is er nog niet. Het is daarom aan te raden om maatregelen te nemen. Dat zou kunnen door een andere browser te gebruiken. Maar Internet Explorer is ook tegen de aanval te beschermen door de Flash plug-in in Internet Explorer te verwijderen. Volgens Fireye Research werkt de nu uitgevoerde aanval dan in ieder geval niet. Maar een garantie tegen aanvallen tegen misbruik van andere componenten die ASLR omzeilen geeft dat niet.
Stoplappen kunnen gat dichten
In aanvulling daarop zou men daarom ook de Enhanced Mitigation Experience Toolkit 4.1 moeten gebruiken, adviseert Microsoft. Volgens Fireye Research stopt dat inderdaad de aanval, of zorgt het er op zijn minst voor dat deze opgemerkt wordt. Eventueel zijn er ook aanvullende maatregelen te nemen, door ActiveX Controls en Active Scripting te blokkeren, maar dat heeft natuurlijk wel effect op de internetbeleving. Voor IE versies 10 en 11 kan men op 64-bit-systemen gebruik maken van de Enhanced Protected Mode, die bij de beveiligingsinstellingen van de internetopties is aan te vinken.
Eerste blijvende Windows XP-gat
Personen en organisaties die nog op Windows XP zitten, zoals grote delen van de Nederlandse overheid, moeten extra alert zijn. Met deze 'zero day' is namelijk het eerste gat in het Windows XP-platform dat niet meer gedicht zal worden, een feit. Voordat de patches voor deze bug voor de modernere Windows-platforms gepubliceerd worden, moeten maatregelen genomen worden. Met de beveiligingsbulletins en de patches in de hand wordt het voor hackers immers een stuk makkelijker om dit type en vergelijkbare aanvallen te ontwikkelen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee