Dipl.-Inform. Carsten Eilers

Über das Informationsleck wird der Timestamp der PE-Header der Bibliothek msvcrt.dll ermittelt. Der Timestamp wird dann an den Server der Angreifer geschickt, um dort einen zur msvcrt.dll-Version passenden Exploit auszuwählen. Diese Schwachstelle betrifft Windows XP mit dem IE 8 und Windows 7 mit dem IE 9.

Der Exploit für die "out-of-bounds memory access"-Schwachstelle nutzt im Rahmen des Return-oriented programming (ROP) an die jeweilige msvcrt.dll-Version angepasste Befehlsketten zum Umgehen der Data Execution Prevention (DEP). Er funktioniert unter Windows XP mit dem IE 7 und 8 sowie unter Windows 7, die Schwachstelle selbst ist aber im IE 7, 8, 9 und 10 vorhanden. Der Angriff auf diese Schwachstelle kann laut Microsoft über das EMET abgewehrt werden.

Leider hat man vergessen, zu verraten, wie. Ich kann das jetzt nicht überprüfen, vermute aber, dass die Adress Space Layout Randomization (ASLR) für die Bibliothek msvcrt.dll nicht aktiviert ist. Durch das Einschalten des ASLR über das EMET würde die Bibliothek an zufällige Adressen geladen, so dass die im Exploit verwendeten Adressen für die ROP-Befehle nicht mehr stimmen und der Exploit keinen Code mehr anspringen und ausführen kann.

Der Exploit nutzt beim Einschleusen des Schadcodes eine interessante Taktik: Der Code wird direkt in rundll32.exe eingeschleust und nicht als ausführbares Programm heruntergeladen und dann gestartet. Der Exploit erzeugt also keine verräterische Datei auf der Festplatte. Der Nachteil für die Angreifer: Nach einem Reboot der Rechners ist der Schadcode entfernt, es erfolgt keine dauerhafte Kompromittierung, wie es sonst im Rahmen von Advanced Persistant Threats üblich ist. Vielleicht verlassen sich die Angreifer aber auch darauf, dass die Opfer die kompromittierte Website regelmäßig besuchen, so dass ihre Rechner bei jedem Besuch erneut kompromittiert werden können. Jedenfalls so lange, wie die Website kompromittiert bleibt.

Die Angriffe

Der Exploit wird im Rahmen eines Wasserloch-Angriffs gegen Englisch-sprachige Versionen des IE eingesetzt, sollte aber auch an andere Sprachversionen angepasst werden können. Entdeckt wurde er auf einer kompromittierten Website in den USA.

Weitere Informationen liegen noch nicht vor. FireEye arbeitet mit Microsoft zusammen an der Analyse des Exploits und der Schwachstellen, die Antivirenhersteller haben bisher nicht mit Blogartikeln auf den Angriff reagiert.

Update 11.11.2013
FireEye hat weitere Informationen veröffentlicht:
Bei der kompromittierten Website handelt es sich um eine "strategically important website, known to draw visitors that are likely interested in national and international security policy", Ziel der Angriffe sind also Sicherheitsbehörden und ähnliche Organisationen. FireEye konnte eine Verbindung zur "Operation DeputyDog" feststellen, und damit zur 0-Day-Schwachstelle im Internet Explorer aus dem August/September.
Ende des Updates vom 11.11.

Update 12.11.2013
Dies ist mal wieder einer der Fälle, in denen Schwachstellen mehr als einmal entdeckt wurden: Microsoft hat bekanntgegeben, dass ein Patch für eine der Schwachstellen, die die CVE-ID CVE-2013-3918 erhalten hat, bereits Bestandteil des am heutigen regulären Patchday erscheinenden Updates für den IE ist. Vermutlich handelt es sich bei der Schwachstelle um den "out-of-bounds memory access".
Ende des Updates vom 12.11.

2. Update 12.11.2013
Microsoft hat das Security Bulletion MS13-090 und die zugehörigen Updates veröffentlicht. Wie vermutet, wird die Codeausführungs-Schwachstelle behoben. Anders als erwartet aber nicht durch einen Patch, sondern indem für das betroffene ActiveX-Control das KillBit gesetzt wird, so dass es der Internet Explorer nicht mehr lädt.
Ein Eintrag in Microsofts Security Resarch & Defense Blog liefert einige (wenige) zusätzliche Informationen. Die wichtigste: Das Informationsleck wird irgendwann später geschlossen, da es nur Angriffe erleichtert, sie aber nicht erlaubt.
Ende des 2. Updates vom 12.11.

Carsten Eilers