Skip to content

IE: Ein 0-Day-Exploit für zwei Angriffe?

Es gibt neue Informationen zur aktuellen 0-Day-Schwachstelle im Internet Explorer. Nein, nicht zu der, für die Microsoft Mitte September eine FixIt-Tool veröffentlicht hat (CVE-2013-3893), sondern für die, die am Oktober-Patchday zusätzlich behoben wurde (CVE-2013-3897). Und die widersprechen sich eigentlich. Außerdem gibt es Hinweise auf eine weitere 0-Day-Schwachstelle. Aber dazu gleich mehr.

Update 15.10.:
Für das Metasploit-Framework wurde ein Exploit für CVE-2013-3897 veröffentlicht.
Ende des Updates

Vorher gibt es noch einen Lesetipp: Sophos hat den ersten Teil einer Beschreibung des Exploits für CVE-2013-3893 veröffentlicht.

Gezielte Angriffe auf Online-Spieler

Die zweite 0-Day-Schwachstelle wurde ja laut Microsoft für vereinzelte, gezielte Angriffe eingesetzt, und laut Trustwave SpiderLabs wurden vom eingeschleusten Schadcode Zugangsdaten für Onlinespiele ausgespäht und Zugriffe auf bestimmte koreanische Banken-Websites auf andere Server umgeleitet. Was mir ziemlich merkwürdig vorkam und immer noch vorkommt. Ziv Mador von den SpiderLabs hat gegenüber ThreatPost aber erneut bestätigt, dass über den Exploit "normale" Schadsoftware verbreitet wird:

"It is being used to distribute general malware. Unlike the previous zero day in IE, this one distributes malware to steal credentials from online gamers, or disrupt access to banking sites. It’s general malware, not targeted attacks."

Das ist äußerst ungewöhnlich. Und zwar in doppelter Hinsicht. Fangen wir mit den gezielten Angriffen an, um die es sich laut Microsoft handelt. Bisher ging es bei gezielten Angriffen immer darum, Personen, Organisationen oder Unternehmen auszuspionieren. Die Hintermänner waren zwar meist nicht bekannt, die nette Umschreibung "staatlich gesponsert" dürfte aber in den meisten Fällen zutreffen. Wobei man das "gesponsert" nicht all zu eng sehen sollte, oft werden da auch Geheim- und andere Dienste der Staaten direkt beteiligt sein. Was es bisher nicht gab, sind gezielte Angriffe auf Online-Spieler und das Online-Banking. Die Cyberkriminellen waren bisher immer im "Massengeschäft" aktiv - frei nach dem Motto "viel hilft viel". Je mehr Rechner mit Schadsoftware infiziert werden, desto mehr davon werden für die Cyberkriminellen brauchbar sein.

Ebenfalls ungewöhnlich ist der sofortige Einsatz eines 0-Day-Exploits zur Verbreitung allgemeiner Schadsoftware, wie ihn die SpiderLabs beschreiben. In den letzten Jahren wurden die 0-Day-Exploits immer zuerst für gezielte Angriffe verwendet (also durch die "staatlich gesponserten" Angreifer, die über entsprechende Finanzmittel zum Kauf von 0-Day-Exploits verfügen). Erst nachdem der Exploit bekannt geworden war, wurde er von den Entwicklern der Exploit-Kits aufgegriffen und in die Kits integriert, um der allgemeinen Verbreitung von Schadsoftware durch Drive-by-Infektionen zu dienen.

Aber es wird noch verwirrender:

Gezielte Angriffe auf Finanzinstitute und Industrie

Symantec berichtet, dass die Angriffe um den 11. September 2013 begannen und vor allem Südkorea betrafen, da Webseiten einer populären koreanischen Blog-Website mit Umleitungen zu Websites mit dem Exploit präpariert wurden. Was für Schadcode eingeschleust wurde, wird leider nicht verraten. Aber hier könnte der Exploit tatsächlich zum Einschleusen von Schadcode zum Ausspähen von Zugangsdaten für Onlinespiele und zum Umleiten der Zugriffe auf Banken-Websites verwendet worden sein, Blogs werden ja überwiegend von Privatpersonen besucht. Aber auch für "Wasserloch-Angriffe" gegen bestimmte Benutzergruppen dürften Blogs interessant sein, wenn sie denn passend zur "Zielgruppe" ausgesucht werden. Aber darüber liegen ja leider keine Informationen vor.

Weitere, den bisherigen Angaben widersprechende Informationen liefert Websense: Dort wurden die Angriffe ab dem 18. September beobachtet, die Ziele befanden sich in Korea, Hong Kong und den USA. Hier ergeben sich Abweichungen zu Symantecs Angaben schon aus den unterschiedlichen Kundenkreisen von Symantec und Websense, jeder sieht ja nur das, was die eigenen Rechner und die der Kunden beobachten. Interessanter sind die Ziele, die Websense beobachtet hat: Finanzinstitute und Schwerindustrie in Japan und Korea. Die Angriffe gehören zu einer größeren Kampagne, die seit einigen Monaten läuft und verschiedene Industriebereiche in einigen ausgewählten Regionen zum Ziel hat. Da dürfte es kaum um Zugangsdaten für Online-Spiele gegangen sein, und auch die Umleitungen der Zugriffe auf Banken-Websites führen in diesem Umfeld vermutlich nur selten zum gewünschten Erfolg.

Ein Exploit, zwei Angriffe?

Eigentlich lässt das alles nur einen Schluss zu: Der Exploit wurde mehr oder weniger parallel für zwei Angriffe gleichzeitig genutzt. Zum einen vor allem in Südkorea für die allgemeine Verbreitung von Schadsoftware durch Drive-by-Infektionen, zum anderen in Korea, Hong Kong und den USA für die gezielten Angriffe auf Finanzinstitute und Industrie. Wie passt das zusammen?

Eigentlich gar nicht. Bei gezielten Angriffen möchten die Angreifer möglichst lange unentdeckt bleiben, allgemein verbreitete Schadsoftware wird aber eher früher als später von einem Virenscanner erkannt. Einen 0-Day-Exploit in allgemeinen Drive-by-Infektionen zu verwenden ist also ein sehr effektiver Weg, ihn zu verbrennen. Warum sollten die Angreifer das tun? Nun, da fällt mir eine Information ein, auf die ich schon im ersten Text über die neue Schwachstelle besonders hin gewiesen habe, damals noch allgemein: Wolfgang Kandek von Qualys hatte berichtet, dass die Schwachstelle von Microsoft bereits intern entdeckt worden war und der Patch sowieso an diesem Patchday veröffentlicht werden sollte. Nach dem Patchday wäre der 0-Day-Exploit also sowieso wertlos gewesen. Haben die Cyberkriminellen (oder die "staatlich gesponserten" Angreifer) dass gewusst und versucht, noch so viel Kapital aus dem 0-Day-Exploit zu schlagen wie möglich?

Irgendwie ist das alles sehr merkwürdig. Auf die Auflösung der Rätsel bin ich gespannt. Leider werden wir die wohl nie erfahren. Aber das schreit geradezu nach ein bisschen Spekulation!

Ein bisschen Verschwörungstheorie macht immer Spass...

Im Grunde stellt sich ja nur die Frage, wer vom kommenden Patch gewusst haben könnte. Die Schwachstelle wurde intern von Microsoft entdeckt, also nicht von einem Dritten gemeldet, der sich verplappern könnte. Also kann die Information über den kommenden Patch nur von Microsoft kommen. Wer könnte von Microsoft über einen kommenden Patch für einen 0-Day-Exploit informiert werden?

Mir fällt da zur Zeit nur eine Organisation ein, und die drängt sich gerade zu auf: Die NSA. Der traue ich inzwischen grundsätzlich alles zu, also auch gezielte Angriffe auf Finanzinstitute und Industrie in Korea und Hong Kong. Und der Rest? Die Zugangsdaten für die Online-Spiele braucht man dann vielleicht zur Entspannung, diese ständige Schnüffelei ist bestimmt ziemlich stressig? Und mit dem Umleiten der Banking-Websites wollte man dann vielleicht eine neue Geldquelle erschließen, nachdem das Geld in den USA knapp wird?

Eine schöne Verschwörungstheorie, aber nicht besonders wahrscheinlich. Oder?

Kommen wir zum Schluss noch kurz zu einer möglichen weiteren 0-Day-Schwachstele im Internet Explorer:

Noch ein 0-Day-Exploit unterwegs?

Eigentlich hatte Microsoft mit dem Security Bulletin MS13-080 Patches für 10 CVE-IDs veröffentlicht. Das war ein Irrtum, wie nun in einem Update des Bulletins erklärt wurde:

"V1.3 (October 10, 2013): Bulletin revised to remove CVE-2013-3871 from the vulnerabilities addressed by this update. Including this CVE in the original security bulletin text was a documentation error. CVE-2013-3871 is scheduled to be addressed in a future security update. This is an informational change only. Customers who have already successfully updated their systems do not need to take any action."

Das kann ja mal passieren. Ist in diesem Fall aber ziemlich unschön. Denn was finde ich bei Google, wenn ich nach CVE-2013-3871 suche? Zum Beispiel das hier:

Screenshot: Exploit bei Microsoft bei Google

Der Link http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Exploit%3AJS%2FCVE-2013-3871&ThreatID=-2147283661 führt zwar ins Leere, aber Google hat da ja anscheinend schon mal was gefunden. Es gibt also bereits Schadsoftware, die die Schwachstelle ausnutzt? Das wäre dann ja ein 0-Day-Exploit!

Was gibt es sonst noch zur nicht behobenen Schwachstelle zu finden? Microsoft hat sich bei Simon Zuckerbraun für die Meldung der Schwachstelle bedankt, der mit der Zero Day Initiative zusammen gearbeitet hat. Und von der wurde auch ein Advisory, ZDI-13-232, veröffentlicht, dass ebenfalls nicht mehr online ist, aber von Google schon mal indiziert wurde:

Screenshot: Advisory ZDI-13-232 bei Google

Und von Juniper und Emerging Threats gibt es IDS-Regeln für diese Schwachstelle. Für die es bisher keinen Patch und kein Advisory gibt. Woher kommen die Informationen für die Regel? Irgendwie merkwürdig, oder? Ich würde mich nicht wundern, wenn es demnächst eine Warnung vor einer weiteren 0-Day-Schwachstelle im Internet Explorer gibt. Aber vielleicht sind das ja auch alles nur Irrtümer.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle. Sie befindet sich in Microsoft Graphics und betrifft Windows (Vista und Server 2008, Microsoft Office und Lync. Es handelt sich um die 17. 0-Day-Schwachstelle in diesem Jahr. Wie (mit einer Ausnahme)

Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Vorschau anzeigen
Es gibt weitere Informationen zur 0-Day-Schwachstelle in Microsoft Graphics, die über präparierte Word-Dateien ausgenutzt wird. Und die sind sehr interessant, denn es könnte sich ein neuer Trend für 0-Day-Angriffe herauskristal

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits

Vorschau anzeigen
Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte "Standpunkt" für 2013 sein. Da