2min Security

Internet Explorer herrijst uit de dood door nieuwe Windows-kwetsbaarheid

Internet Explorer herrijst uit de dood door nieuwe Windows-kwetsbaarheid

Ruim twee jaar geleden stierf Internet Explorer. Toch weerhoudt deze dood de internetbrowser van weleer er niet van om schade aan te richten. Aanvallers stelen informatie door via een kwetsbaarheid de voorganger van Microsoft Edge opnieuw te openen.

De aanvallers in kwestie zijn Void Banshee. Securitybedrijf Trend Micro heeft deze groep al geruime tijd in de gaten gehouden. Nadat Microsoft informatie deelde over CVE-2024-43461, blijkt deze kwetsbaarheid door de cybercriminelen geëxploiteerd. De doelwitten van Void Banshee bevinden zich in Europa, Noord-Amerika en Zuidoost-Azië en worden veelal beroofd van gevoelige gegevens zoals cookies en wachtwoorden.

Internet Explorer

De cybercriminelen gebruikten zowel CVE-2024-43461 als de in juli opgeloste kwetsbaarheid CVE-2024-38112 voor hun aanvalscampagne. Beide CVE’s konden worden uitgebuit door speciale .url-bestanden die Internet Explorer openden. Ondanks het feit dat deze browser al geruime tijd is verdwenen, blijven de componenten ervan in leven binnen Windows.

Windows’ ondersteuning voor braille bleek tevens uiterst nuttig voor Void Banshee. De aanvallers konden een .hta-bestand (HTML) vermommen als een PDF. Dit handschrift voor blinden en slechtzienden bevatte een instructie in whitespace om standaard Windows-waarschuwingen te verbergen. Gebruikers konden vervolgens kiezen het bestand te openen of op te slaan. In het eerste geval opende Internet Explorer en werd de Atlantida InfoStealer geïnstalleerd. Hiermee werden cookies, wachtwoorden en gebruikersnamen bemachtigd. Eerdere aandacht voor deze infostealer liet al zien hoe Internet Explorer in een soort zombievorm voortleeft binnen Windows en exploiteerbaar blijft.

Hoewel de aanval heimelijk een legacy-applicatie gebruikt, valt er best tegen te verdedigen. Zo bieden securityoplossingen als Symantec ingebouwde bescherming tegen het executeren van .url-bestanden om Internet Explorer te openen.

Lees ook: Toenemende dreigingen industriële omgevingen vragen om meer geïntegreerde benadering OT-security