Beveiligingsrisico bedrijfsnetwerk door IE 6 en 7 #0day
Een ruime week geleden waarschuwde Microsoft in bulletin 981374 voor de aanwezigheid van ernstige fouten in internet explorer 6 en 7. De fouten, die aanwezig zijn in de iepeers.dll, maken het voor hackers mogelijk om via internet in te breken op bedrijfsnetwerken. Hiervoor hoeven ze gebruikers slechts over te halen om een besmette website te bezoeken.
De impact van de fout is groter geworden toen Mcafee vorige week een URL naar een website publiceerde waar zich malware bevond die van deze fout misbruik maakte. Een Israelische beveiligingsexpert had vervolgens slechts een dag nodig om het voorbeeld in de beveiligingstool "Metasploit" te verwerken. De gebruikersvriendelijke interface van Metasploit maakt het vervolgens zeer eenvoudig om gebruik en misbruik van de kwetsbaarheid te maken.
Terwijl elke technisch onderlegde scholier op dit moment in staat is om bij bedrijven die IE 6 en 7 gebruiken in te breken, laat een goede oplossing van Microsoft nog steeds op zich wachten. De software leverancier heeft inmiddels wel twee work-arround beschikbaar gesteld, maar deze oplossingen vernielen dusdanig veel functionaliteit dat ze voor de meeste grote bedrijven niet bruikbaar zullen zijn. Verder adviseert Microsoft over te stappen op IE 8, maar ook deze stap is voor veel bedrijven wegens applicatieafhankelijkheden nog een brug te ver.
Classity adviseert klanten die de work-arrounds niet kunnen toepassen om ActiveX voor de internet zone uit te schakelen en noodzakelijke websites aan de trusted zone toe te voegen. Behoort dit ook niet tot de mogelijkheden dan kunnen gebruikers naast internet explorer tijdelijk van een extra browser worden voorzien. De internet explorer kan dan gebruikt worden voor het bezoeken van interne websites die deze browser vereisen, terwijl bijv. Firefox of Chrome gebruikt kunnen worden om internet pagina op te vragen.
Benieuwd naar het risico voor uw organisatie? De netwerk security scan geeft u inzicht in het beveiligingsniveau van uw interne bedrijfsnetwerk.