Dipl.-Inform. Carsten Eilers

Am 3. Mai wurde von Microsoft ein Security Advisory zu einer 0-Day-Schwachstelle im Internet Explorer 8 veröffentlicht. Die Schwachstelle CVE-2013-1347 erlaubt die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Webseite aufgerufen wird.

Der IE 6, 7, 9 und 10 sind nicht betroffen. Sofern möglich, sollte also zum IE 9 oder 10 gewechselt werden. Sofern das nicht möglich ist, schlägt Microsoft im Security Advisory als brauchbaren Workaround vor, das Enhanced Mitigation Experience Toolkit (EMET) zu installieren und passend zu konfigurieren. Dadurch wird die Ausnutzung der Schwachstelle erschwert.

Workaround: "Meiden Sie das Web"

Die weiteren Workaround-Vorschläge sind nicht besonders zielführend: Zum einen sollen die Sicherheitseinstellungen für die Internet- und Intranet-Zone auf "hoch" gestellt werden. Dadurch werden auf den betroffenen Seiten ActiveX-Controls und ActiveScripting blockiert. Auf ActiveX kann man im Internet ja vielleicht verzichten, ohne JavaScript sind die meisten Websites jedoch heutzutage nicht mehr nutzbar. Daher müssen Ausnahmen für "vertrauenswürdige" Websites gemacht werden, die es angesichts der heutzutage üblichen Drive-by-Infektionen aber nicht gibt. Jede Website kann nach einer Kompromittierung oder über präparierte Werbeanzeigen für Drive-by-Infektionen präpariert sein. Aus Sicherheitsgründen darf es also keine Ausnahmen geben.

Zum anderen soll der IE so konfiguriert werden, dass er vor der Ausführung von ActiveScripting nachfragt. Welcher vertrauenswürdigen Website würde man diese Zustimmung wohl verweigern? Diese 0-Day-Schwachstelle wurde von FireEye auf der Website des US-Amerikanischen Department of Labor (DoL) gefunden. Und das ist doch sicher einer vertrauenswürdige Website, oder? Also darf man sicherheitshalber auch hier keine Ausnahmen zulassen.

Im Endeffekt laufen diese Workaround also darauf hinaus, bis auf weiteres auf die Nutzung des WWW zu verzichten. Das ist nicht besonders praktikabel, oder? Eine praktikable Lösung hat Microsoft natürlich verschwiegen: Wechseln Sie den Browser. Generell ist es eine gute Idee, immer mehrere Browser installiert zu haben. Wenn dann mal wieder einer gefährdet ist, kann man Gefahrlos mit einem anderen weiter surfen.

Der Angriff über die Website des DoL

Die DoL-Website wurde bereits am 1. Mai kompromittiert, dabei wurde dem ersten Anschein nach ein Exploit für die 0-Day-Schwachstelle im IE aus dem Dezember 2012 verwendet. Angeblich wurde die Kompromittierung noch am gleichen Tag behoben. Vom Schadcode eingeschleust wird eine Variante des Remote Administration Toolkits (RAT) PoisonIvy.

Zumindest was die ausgenutzte Schwachstelle betrifft, stellte sich diese erste Einschätzung als Irrtum heraus. Bei einer genaueren Analyse kam heraus, dass es sich dabei um die neue 0-Day-Schwachstelle handelt. Und außer der DoL-Website wurden mindestens neun weitere Websites kompromittiert. Symantec weist darauf hin, dass sich die Exploits bzw. Schwachstellen stark gleichen, eine detaillierte Untersuchung steht aber noch aus.

Ziel der Angriffe über die DoL-Website waren vermutlich Mitarbeiter des US Department of Energy, da die betroffene Mikrosite Informationen über Strahlenbelastungen in entsprechenden Bereichen bereit hält.

5. Mai - Metasploit-Modul verfügbar

Am 5. Mai wurde ein Modul für das Exploit-Framework Metasploit veröffentlicht, so dass Sie damit die Wirksamkeit eines Workarounds oder Patches testen können. Der Exploit funktioniert auf einem voll gepatchten Windows 7 mit Internet Explorer 8. Laut den Metasploit-Entwicklern besteht aber kein Zusammenhang zwischen der Schwachstelle aus dem Dezember und der aktuellen Schwachstelle.

Das, was die Metasploit-Entwickler können, können natürlich auch die Cyberkriminellen. Der Exploit dürfte also in Kürze in den üblichen Exploit Kits auftauchen und im großen Maßstab eingesetzt werden. Denn die Cyberkriminellen wären ja ziemlich dumm, wenn sie sich so eine Gelegenheit entgehen ließen.

Fazit

Das Ganze lässt sich einfach zu folgendem Warnhinweis zusammenfassen:

"Der Internet Explorer 8 gefährdet die Sicherheit Ihres Rechners!
Wechseln Sie zu einem anderen Browser, zum Beispiel dem IE 9 oder 10 oder den eines anderen Entwicklers!
Wenn Sie zum IE 9 oder 10 gewechselt sind, bleiben Sie bei dieser Version, auch wenn der IE 8 irgendwann gepatcht wird!"

Carsten Eilers