Eine 0-Day-Schwachstelle, die kaum einen interessiert?
Da gibt es eine neue 0-Day-Schwachstelle, und kaum jemand interessiert sich dafür? Was ist los, sind 0-Days dieses Jahr so üblich geworden, dass eine weitere keine besondere Beachtung mehr verdient? Jedenfalls sind die Antivirenhersteller ziemlich schweigsam, und wenn in den Medien überhaupt über die Schwachstelle berichtet wird, dann oft auch noch falsch.
Den Antivirenhersteller hat es die Sprache verschlagen?
Außer McAfee (dazu gleich mehr) hat bisher keiner der Antivirenhersteller einen Blogartikel zur Schwachstelle oder der darüber verbreiteten Schadsoftware veröffentlicht. Eigentlich lassen die sich doch keine Gelegenheit entgehen, auf die Fähigkeiten ihrer Programme hin zu weisen. Und hier (mit Ausnahme von McAfee) herrscht Schweigen im virtuellen Walde des Internets? Keine Hinweise nach dem Muster "Den 0-Day-Exploit haben wir selbstverständlich von Anfang an erkannt!" - haben die Scanner etwa mal wieder versagt?
Zum Glück stimmt das zumindest nur zum Teil. Denn laut Virustotal wird der Exploit zumindest von einem Teil der Virenscanner erkannt, die Schachstelle wurde also nicht komplett verschlafen. Teilweise scheinen zwar generische Routinen zuzuschlagen, aber wichtig ist ja, dass der Exploit überhaupt erkannt wird. Wenn auch mit einem deutlich verbesserbaren Ergebnis - nur 23 von 47 Scannern schlagen Alarm.
Exploit mit Vorgeschichte
Aber kommen wir zum Text von McAfee, denn der hat es in sich: Der Exploit nutzt die gleiche Technik wie der für die 0-Day-Schwachstellen im Flash Player aus dem Februar. Da stellt sich doch die Frage: Haben die Exploit-Entwickler abgeguckt, oder handelt es sich um die gleichen Entwickler? Jetzt wäre es hilfreich, wenn man wüsste, wem die aktuellen Angriffe gelten. Damals zielten die Angriffe auf verschiedene Industriebereiche, darunter Luft- und Raumfahrt. Gehen auch die aktuellen Angriffe in dieser Richtung, würde das für die gleichen Hintermänner sprechen. Aber mangels weiterführender Informationen gibt es ja eigentlich nicht mal Nebel zum drin rum stochern. Bekannt ist nur, dass es gezielte Angriffe gab. Was bisher ja meist auf "staatlich gesponserte" Angreifer hinaus lief, die Cyberkriminellen sind ja eher im Massengeschäft tätig.
Tavis Ormandy hat nichts mit dieser Schwachstelle zu tun
Teilweise wird berichtet, die Schwachstelle wäre von Tavis Ormandy von Googles Security-Team entdeckt und veröffentlicht worden. Das ist völliger Blödsinn, wer das behauptet, kann anscheinend nicht lesen (oder versteht nicht, was er gelesen hat und vor allem wo).
In der Tat wurde eine von Tavis Ormandy im Mai veröffentlichte Schwachstelle, für die ein Exploit existiert, am Juli-Patchday behoben, aber die befand sich zum einen im Windows-Kernel und wurde zum anderen bisher nur zum Erlangen höherer Benutzerrechte ausgenutzt. Laut Microsoft ist über die Schwachstelle auch das Einschleusen von Code möglich, aber sehr unwahrscheinlich. Und entsprechende Angriffe sind bisher auch nicht bekannt.
Das Ganze hier noch mal im Überblick:
| CVE-ID: | CVE-2013-3660 | CVE-2013-3163 |
| Entdecker: | Tavis Ormandy | Jose Antonio Vazquez Gonzalez |
| Betrifft: | Windows-Kernel | Internet Explorer |
| Folgen: | Privilegien-Eskalation (wird ausgenutzt), laut Microsoft evtl. auch Remote Code Execution möglich |
Remote Code Execution |
| Security Bulletin: | MS13-053 | MS13-055 |
Die Antwort auf die Frage, ob Tavis Ormandy eine von Angreifern zum Ausführen von Code ausgenutzte Schwachstelle im Internet Explorer veröffentlicht hat, lautet also frei nach Radio Eriwan: "Im Prinzip ja. Aber die Schwachstelle wird von den Angreifern nur zum Erlangen höherer Benutzerrechte ausgenutzt, und sie befindet sich im Windows Kernel".
Und ob die Angreifer die Schwachstelle nicht vielleicht schon vor Tavis Ormandys Veröffentlichung ausgenutzt haben, steht auf einen anderen Blatt und lässt sich mangels Informationen darüber nicht beantworten.
Trackbacks