1660623

Zero-Day-Lücke im Internet Explorer

02.01.2013 | 14:59 Uhr |

Eine neu entdeckte Schwachstelle im Internet Explorer 6 bis 8 wird für Angriffe im Web ausgenutzt. Microsoft hat als vorläufige Lösung ein Fix-it-Tool bereit gestellt, das die Ausnutzung der Sicherheitslücke verhindert.

Kurz vor Jahresende ist eine kritische Sicherheitslücke im Internet Explorer bekannt geworden. Sie wird bereits für gezielte Angriffe im Web ausgenutzt. Dabei handelt es sich um so genannte "Watering-Hole"-Angriffe: die Angreifer kompromittieren Websites, von denen sie annehmen, dass die Zielpersonen sie besuchen werden. Eine solche Website ist die der US-amerikanischen Denkfabrik "Council on Foreign Relations", die bereits vor Weihnachten verseucht wurde.

Am 29. Dezember hat Microsoft die Sicherheitsempfehlung 2794220 veröffentlicht, in der Microsoft angibt, betroffen seien nur die Version 6, 7 und 8 des Internet Explorer (IE). Der IE 9 (für Windows ab Vista SP2 erhältlich) sowie der IE 10 (Windows 8, RT) sind demnach nicht anfällig. Microsoft hat darin eine Fix-it-Lösung angekündigt, die es an Silvester bereit gestellt hat.

Das im KB-Artikel 2794220 veröffentlichte Fix-it-Tool 50971 verändert lediglich zwei Bytes in der Programmbibliothek mshtml.dll . Die Änderung erfolgt nicht permanent, sondern bei jedem Aufruf des Internet Explorer im Arbeitsspeicher. Sie soll mit einem zukünftigen Sicherheits-Update, das die eigentliche Schwachstelle behebt, kompatibel sein. Sie verlangsamt allerdings ein wenig den Browser-Start und sollte daher wieder entfernt werden, bevor das Sicherheits-Update installiert wird. Dies erledigt das Fix-it-Tool 50972, das im gleichen KB-Artikel bereit steht.

Die Sicherheitslücke im Internet Explorer wird durch einen mehrteiligen Exploit ausgenutzt. Die präparierte Web-Seite enthält Javascript-Code, der geeignete Ziele ermittelt. Ein spezielles Flash-Objekt versprüht dann Shell-Code im Arbeitsspeicher ("Heap Spraying") – ohne Flash Player funktioniert dieser Angriffsvektor also nicht. Es gibt jedoch auch andere Möglichkeiten für diese zweite Stufe des Angriffs.

Die beiden folgenden Angriffsstufen dienen der Umgehung der Sicherheitsmechanismen ASLR (Address Space Layout Randomization, Adressverwürfelung) und DEP (Data Execution Prevention). wodurch der eingeschleuste Code im Erfolgsfall ausgeführt wird. Die ASLR-Umgehung benötigt entweder eine aus Java 6 stammende Fassung der Programmbibliothek msvcr71.dll oder die aus Microsoft Office 2007/2010 stammende hxds.dll . Beide enthalten noch keinen ASLR-Schutz.

Weitere Details liefert Microsoft im SRD-Blog (Security Research and Development). Hier finden Administratoren auch Hinweise, wie sie einen (erfolglosen) Angriff auf Rechner mit IE 9 oder IE 10 aus Log-Dateien herauslesen können.

Wann Microsoft ein umfassendes Sicherheits-Update für den Internet Explorer bereit stellen wird, ist noch offen. Die nächste turnusmäßige Gelegenheit dazu wäre bereits am kommenden Dienstag, denn am 8. Januar ist ohnehin Patch Day.

0 Kommentare zu diesem Artikel
1660623