Het is gevaarlijk om alle schuld op IE te schuiven

Bij de aanvallen op Google en nog een groot aantal andere bedrijven, activisten en internationale journalisten, is inderdaad gebruik gemaakt van Internet Explorer. De CTO van McAfee George Kurtz heeft dat uitgelegd in zijn blog. “In ons onderzoek hebben we ontdekt dat een van de stukken malware die gebruikt zijn in deze brede aanval gebruik maakt van een nieuw, nog niet bekend lek in Microsoft Internet Explorer”, schreef hij. Het is goed om hier op te merken dat Krutz hier voorzichtige bewoordingen gebruikt: “een van de stukken malware”, waarmee hij impliceert dat er nog andere aanvalspunten kunnen zijn geweest. Er is een goede kans dat Internet Explorer niet de enige factor is geweest die de aanvallen mogelijk heeft gemaakt.

Ik heb Kurtz gevraagd naar de eerdere speculaties dat de Adobe Reader zero-day er iets mee te maken had, dat Adobe vorige week heeft gepatcht. Hij antwoordde dat ze daar geruchten over hadden gehoord, maar dat ze geen bewijzen hadden gevonden dat het lek in Adobe Reader is gebruikt. “Ik kan alleen iets zeggen over de malware die wij hebben onderzocht. Maar er kunnen zeker nog andere stukken malware zijn die nog niet zijn ontdekt. Bovendien is het gebruikelijk onder aanvallers om eerst een ingang te vinden, om vervolgens andere interne systemen aan te vallen met andere exploits, die specifiek op die besturingssystemen of applicaties zijn gericht.”

Vals gevoel van veiligheid

Ook vroeg ik Kurtz naar de ironie dat Google, de maker van Chrome, gehackt was via een lek in Interenet Explorer. Zou Google geen Chrome moeten gebruiken?

Kurtz antwoordde: “Het is heel makkelijk om die conclusie te trekken, maar Internet Explorer is alomtegenwoordig en wordt door bijna elk bedrijf gebruikt. En er zijn veel bedrijfsapplicaties die alleen met IE werken, dus het is heel moeilijk om helemaal op een alternatieve browser over te stappen, zelfs als je die browser zelf maakt.”

Toch blijft het probleem met de “verlaat Internet Explorer”-strategie dat het een vals gevoel van veiligheid schept. Andere browsers, applicaties en besturingssystemen kunnen ook gekraakt worden, zeker door aanvallers die hun missie zo serieus nemen en beschikken over zulke geavanceerde middelen.

Op de CanSecWest conferentie van vorig jaar werd het Mac OS X besturingssysteem in een paar minuten opengebroken met een zero-day exploit voor Safari. In een interview dat op de Pwn2Own wedstrijd volgde legde de winnaar uit dat “het meer gaat om het besturingssysteem dan om het programma. Firefox op Mac is ook best makkelijk. Het onderliggende OS heeft geen anti-exploit-dingen ingebouwd.”

Terwijl onderzoek uitwijst dat de Internet Explorer zero-day die is gebruikt bij de aanvallen werkt op elke versie van Internet Explorer, zelfs op Windows 7, suggereert eerder onderzoek dat het systeem dat is aangevallen Internet Explorer 6 draaide op Windows XP. Het normale gebruik van een modern besturingssysteem en een moderne browser zou al veel meer bescherming hebben geboden.