Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8
Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im Internet Explorer, allerdings nur in Version 8. Und wie die 0-Day-Schwachstelle im Dezember 2012 wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen wir mal einen Blick auf die wenigen bisher bekannten Fakten.
3. Mai - Microsoft veröffentlicht ein Security Advisory
Am 3. Mai wurde von Microsoft ein Security Advisory zu einer 0-Day-Schwachstelle im Internet Explorer 8 veröffentlicht. Die Schwachstelle CVE-2013-1347 erlaubt die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Webseite aufgerufen wird.
Der IE 6, 7, 9 und 10 sind nicht betroffen. Sofern möglich, sollte also zum IE 9 oder 10 gewechselt werden. Sofern das nicht möglich ist, schlägt Microsoft im Security Advisory als brauchbaren Workaround vor, das Enhanced Mitigation Experience Toolkit (EMET) zu installieren und passend zu konfigurieren. Dadurch wird die Ausnutzung der Schwachstelle erschwert.
Workaround: "Meiden Sie das Web"
Die weiteren Workaround-Vorschläge sind nicht besonders
zielführend: Zum einen sollen die Sicherheitseinstellungen für
die Internet- und Intranet-Zone auf "hoch"
gestellt werden.
Dadurch werden auf den betroffenen Seiten ActiveX-Controls und
ActiveScripting blockiert. Auf ActiveX kann man im Internet ja vielleicht
verzichten, ohne JavaScript sind die meisten Websites jedoch heutzutage
nicht mehr nutzbar. Daher müssen Ausnahmen für
"vertrauenswürdige" Websites gemacht werden, die es angesichts der
heutzutage üblichen Drive-by-Infektionen aber nicht gibt. Jede
Website kann nach einer Kompromittierung oder über präparierte
Werbeanzeigen für Drive-by-Infektionen präpariert sein. Aus
Sicherheitsgründen darf es also keine Ausnahmen geben.
Zum anderen soll der IE so konfiguriert werden, dass er vor der Ausführung von ActiveScripting nachfragt. Welcher vertrauenswürdigen Website würde man diese Zustimmung wohl verweigern? Diese 0-Day-Schwachstelle wurde von FireEye auf der Website des US-Amerikanischen Department of Labor (DoL) gefunden. Und das ist doch sicher einer vertrauenswürdige Website, oder? Also darf man sicherheitshalber auch hier keine Ausnahmen zulassen.
Im Endeffekt laufen diese Workaround also darauf hinaus, bis auf weiteres auf die Nutzung des WWW zu verzichten. Das ist nicht besonders praktikabel, oder? Eine praktikable Lösung hat Microsoft natürlich verschwiegen: Wechseln Sie den Browser. Generell ist es eine gute Idee, immer mehrere Browser installiert zu haben. Wenn dann mal wieder einer gefährdet ist, kann man Gefahrlos mit einem anderen weiter surfen.
Der Angriff über die Website des DoL
Die DoL-Website wurde bereits am 1. Mai kompromittiert, dabei wurde dem ersten Anschein nach ein Exploit für die 0-Day-Schwachstelle im IE aus dem Dezember 2012 verwendet. Angeblich wurde die Kompromittierung noch am gleichen Tag behoben. Vom Schadcode eingeschleust wird eine Variante des Remote Administration Toolkits (RAT) PoisonIvy.
Zumindest was die ausgenutzte Schwachstelle betrifft, stellte sich diese erste Einschätzung als Irrtum heraus. Bei einer genaueren Analyse kam heraus, dass es sich dabei um die neue 0-Day-Schwachstelle handelt. Und außer der DoL-Website wurden mindestens neun weitere Websites kompromittiert. Symantec weist darauf hin, dass sich die Exploits bzw. Schwachstellen stark gleichen, eine detaillierte Untersuchung steht aber noch aus.
Ziel der Angriffe über die DoL-Website waren vermutlich Mitarbeiter des US Department of Energy, da die betroffene Mikrosite Informationen über Strahlenbelastungen in entsprechenden Bereichen bereit hält.
5. Mai - Metasploit-Modul verfügbar
Am 5. Mai wurde ein Modul für das Exploit-Framework Metasploit veröffentlicht, so dass Sie damit die Wirksamkeit eines Workarounds oder Patches testen können. Der Exploit funktioniert auf einem voll gepatchten Windows 7 mit Internet Explorer 8. Laut den Metasploit-Entwicklern besteht aber kein Zusammenhang zwischen der Schwachstelle aus dem Dezember und der aktuellen Schwachstelle.
Das, was die Metasploit-Entwickler können, können natürlich auch die Cyberkriminellen. Der Exploit dürfte also in Kürze in den üblichen Exploit Kits auftauchen und im großen Maßstab eingesetzt werden. Denn die Cyberkriminellen wären ja ziemlich dumm, wenn sie sich so eine Gelegenheit entgehen ließen.
Fazit
Das Ganze lässt sich einfach zu folgendem Warnhinweis zusammenfassen:
"Der Internet Explorer 8 gefährdet die Sicherheit Ihres
Rechners!
Wechseln Sie zu einem anderen Browser, zum Beispiel dem IE 9 oder 10 oder
den eines anderen Entwicklers!
Wenn Sie zum IE 9 oder 10 gewechselt sind, bleiben Sie bei dieser Version,
auch wenn der IE 8 irgendwann gepatcht wird!"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : FixIt für IE-0-Day veröffentlicht, neue 0-Day-Schwachstelle in ColdFusion gemeldet
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Cyberkrieger? Cyberkriminelle!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen per E-Mail und mehr
Vorschau anzeigen