Skip to content

Wasserloch-Angriffe über 0-Day-Schwachstelle im Internet Explorer

Geschrieben von Carsten Eilers am um 09:22

Die zweite 0-Day-Schwachstelle des Jahres 2014 befindet sich im Internet Explorer und wird im Rahmen von Wasserloch-Angriffen über die Website der "U.S. Veterans of Foreign Wars" ausgenutzt.

FireEye hat den Exploit am 11. Februar entdeckt

Der Exploit wurde von FireEye am 11.2.2014 entdeckt, am 13.2. wurde erst eine kurze Warnung und dann eine ausführliche Analyse des Angriffs veröffentlicht.

Die Schwachstelle

Bei der Schwachstelle handelt es sich um ein Use-After-Free-Schwachstelle, ihr wurde die CVE-ID CVE-2014-0322 zugewiesen (der Eintrag ist zur Zeit noch leer). Die Schwachstelle erlaubt es dem Angreifer, ein Byte an einer beliebigen Speicheradresse zu manipulieren. Die Angreifer nutzen die Schwachstelle aus, um im IE 10 mit installiertem Flash Player Zugriff auf den Speicher von ActionScript im Flash Player zu erlangen. Dadurch wird die Address Space Layout Randomization (ASLR) umgangen. Danach wird über Return-Oriented Programming (ROP) die Data Execution Prevention (DEP) unterlaufen.

Der Exploit

In die kompromittierte Website vfw.org wurde ein iframe eingeschleust, der eine Seite der Angreifer lädt. Über ein Flash-Objekt und JavaScript-Code wird dann der Exploit ausgeführt. Der Angriff wird abgebrochen, wenn ein andere Browser als der IE 10 verwendet wird oder Microsofts Experience Mitigation Toolkit (EMET) installiert ist. Das muss nicht mal für den IE oder Flash Player aktiviert und konfiguriert sein, das reine Vorhandensein reicht aus, um die Angreifer in die Flucht zu schlagen: "has installed Microsoft’s Experience Mitigation Toolkit". Erkannt wird das, indem über das Microsoft.XMLDOM ActiveX Control ein XML-String mit dem Pfad zur EMET-DLL geladen und anhand des Rückgabewerts geprüft wird, ob die EMET-DLL vorhanden ist oder nicht.

ASLR wird umgangen, indem ein Vektor-Objekt im Flash Player beschädigt und danach darauf zugegriffen wird. Danach wird der benötigte Maschinen-Code für das ROP zusammengesucht und der vftable-Pointer eines flash.Media.Sound()-Objekts mit dem Start der ROP-Kette überschrieben, um diese dann nach der Reparatur von Vektor und flash.Media.Sound() auszuführen.

Der Schadcode

Der eingeschleuste Code lädt weiteren Code nach, der an das Ende eines JPEG-Bilds angehängt ist. Installiert wird eine Hintertür (ZxShell), die am 11.2.2014 kompiliert wurde. Da auch der Exploit zuletzt am 11.2.2014 geändert wurde, scheint der Angriff sehr "frisch" zu sein und ist vermutlich extra für diese Aktion, die von FireEye übrigens "Snowman" getauft wurde, zusammengestellt worden.

Laut Malwarebytes ist eine der eingeschleusten Programmdateien digital signiert, um eine legitime Anwendung vorzutäuschen.

Verbindungen zu "DeputyDog" und "Ephemeral Hydra"

Es gibt Querverbindungen zu den Kampagnen "DeputyDog" (aufgefallen durch die 0-Day-Schwachstelle im IE im August/September 2013) und "Ephemeral Hydra" (aufgefallen durch die 0-Day-Schwachstelle im IE im November 2013) feststellen. Voraus man bei FireEye schließt, dass mit weiteren Angriffen durch die Hintermänner dieser Kampagnen zu rechnen ist. Was weiter keine Kunst ist. 0-Day-Exploits in Wasserloch-Angriffen einzusetzen ist ja eher selten das Hobby gelangweilter Kinder, die nach ein paar Stunden die Lust an diesem Spiel verlieren. Wer auch immer da Angehörige des US-Militär ins Visier genommen hat macht das bestimmt nicht, weil er sonst gerade nichts besseres zu tun hat.

Websense kennt den Exploit seit dem 20. Januar!

Websense hat als Reaktion auf FireEyes Bericht bekanntgegeben, dass man den Exploit dort erstmals am 20.1.2014 und damit "nearly 3 weeks before the previously known first date of the attacks" entdeckt hat. Da drängt sich natürlich die Frage auf, warum man nicht sofort vor der 0-Day-Schwachstelle gewarnt hat, sondern wartet, bis andere den Exploit finden. Hoffen wir mal, das Websense den Exploit vertraulich an Microsoft gemeldet hat und man es dort mal wieder nicht für nötig hielt, wegen ein paar gezielter Angriffe Alarm zu schlagen.

Der Exploit wurde am 20.1. bei Virustotal hochgeladen. Websense vermutet, dass das die Entwickler waren, die testen wollten, ob ihr Schadcode von Virenscannern erkannt wird (wurde er nicht). Das kann ich mir aber nicht vorstellen, da allgemein bekannt ist, das Virustotal verdächtige Dateien an die beteiligten AV-Hersteller weiterleitet. Wer 0-Day-Exploits in Wasserloch-Angriffen einsetzt, wird kaum so dämlich sein, seinen schönen neuen 0-Day-Exploit den AV-Herstellern vor die Nase zu halten.

Der von Websense beobachtete Angriff richtete sich über eine nachgeahmte Website der GIFAS (Groupement des Industries Françaises Aéronautiques et Spatiales) auf gifas.assso.net (Original: gifas.asso.fr) gegen französische Luft- und Raumfahrtunternehmen.

Microsoft: Auch IE 9 betroffen

Bisher gibt es von Microsoft kein offizielles Security Advisory, gegenüber TNW hat Microsoft aber bestätigt, von den Angriffen auf den IE 10 zu wissen, und dass außer dem IE 10 auch der IE 9 von der Schwachstelle betroffen ist.

Update 20.2.:

  • Microsoft hat ein Security Advisory sowie ein FixIt-Tool zur Installation eines Workarounds gegen den aktuellen Angriffsvektor veröffentlicht.
    Betroffen sind der IE 9 unter Windows Vista und Server 2008 sowie unter Windows 7 und Server 2008 RC und der IE 10 unter Windows 7 und Server 2008 RC sowie Windows 8 und Server 2012. Angegriffen wird bisher nur der IE 10 unter allen betroffenen Systemen.
    Microsoft bedankt sich im Security Advisory bei FireEye und Symantec für die Meldung der Schwachstelle. NICHT bei Websense, die die Schwachstelle angeblich viel früher schon entdeckt haben. Aha. Gut zu wissen.
  • Trend Micro hat eine Analyse des Angriffs veröffentlicht.
Ende des Updates vom 20.2.

Die anderen Antiviren-Hersteller

Von Malwarebytes wurde bestätigt, dass eine Infektion unter Windows 7 mit dem IE 10 und dem aktuellen Flash Player möglich ist. Symantec hat anfangs bekanntgegeben, dass der Angriff sich gegen 32-Bit-Versionen von Windows 7 mit IE 10 richtet. Eine danach veröffentlichte ausführlichere Analyse bestätigt im Grunde nur FireEyes Angaben und verrät nichts wirklich Neues. Und Trend Micro berichtet mit Verweis auf TNW, dass IE 9 und 10 betroffen sind. Ach ja: Alle obigen AV-Hersteller haben natürlich auch bekannt gegeben, dass ihr jeweiliges Produkt den Angriff (jetzt) erkennt. Das sollte man ja wohl sowieso erwarten.

Update 20.2.:

  • Trend Micro hat eine Analyse des Angriffs veröffentlicht und weist besonders darauf hin, dass verschiedene Web-Objekte kombiniert werden, um ASLR und DEP zu umgehen. Solche aufwändigeren Exploits dürfte es in Zukunft öfter geben, da die Cyberkriminellen mit einfachen Mitteln nicht mehr weit kommen.
  • Aviv Raff und Barak Gabai von Seculert haben die bisher bekannten Exploits verglichen und kommen zu dem Schluss, dass es sich um zwei unabhängige Angreifergruppen handelt. Der von Websense beobachtete Angriff dient nicht dazu, eine Hintertür einzuschleusen, sondern dem Ausspähen der Zugangsdaten für die Server eines "multinational aircraft and rocket engine manufacturer".
  • McAfee untersucht den Exploit noch und hat erst mal bekanntgegeben, das man den Angriff erkennt.
Ende des Updates vom 20.2.

Update 25.2.:
Symantec meldet weit verbreitete Angriffe über die Schwachstelle. Sie wird nicht mehr nur im Rahmen gezielter Angriffe ausgenutzt, sondern auch im Rahmen normaler Drive-by-Infektionen gegen alle Internetnutzer eingesetzt.
Falls Sie einen betroffenen Browser auf einem betroffenen System nutzen ist es jetzt höchste Zeit, das FixIt-Tool zu nutzen oder den Browser zu wechseln!
Zur Zeit gibt es die meisten Drive-by-Infektionen in Japan, aber dabei wird es vermutlich nicht lange bleiben.
Ende des Updates vom 25.2.

Was nun?

Wenn Sie den IE verwenden, sollten sie (sofern möglich) ja sowieso schon den IE 11 installiert haben, man nutzt ja möglichst immer die aktuellste Browser-Version. Wenn Sie noch den IE 9 oder 10 verwenden, sollten Sie über ein Update zum IE 11 oder einen Browser-Wechsel nachdenken. Oder EMET installieren (um die aktuellen Angreifer zu vergraulen) und für IE und Flash Player aktivieren (denn wenn der Exploit erst mal in den Exploit Kits landet, wird er sicher so angepasst, dass er sich nicht von einem nur installierten EMET ins Bockshorn jagen lässt).

Update 20.2.:
Inzwischen lautet die Antwort: Wenn Sie den Browser nicht updaten oder wechseln wollen oder können, verwenden Sie den Hotfix!
Ende des Updates vom 20.2.

Update 11.3.:
Microsoft hat die Schwachstelle behoben.
Ende des Updates vom 11.3.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)

Vorschau anzeigen
Die dritte 0-Day-Schwachstelle des Jahres befindet sich im Flash Player. Und weil das so harmlos klingt: Es ist nicht nur die dritte 0-Day-Schachstelle des Jahres, sondern auch des Monats - die erste wurde von Adobe am 4. Februar behoben, am 13.

Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar

Vorschau anzeigen
Es gibt schon wieder eine neue 0-Day-Schwachstelle, die fünfte in diesem Jahr. Diesmal befindet sich die Schwachstelle in MS Word, sie kann aber auch über die Vorschau in Outlook ausgenutzt werden. Microsoft warnt vor Angriffen

Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe, Teil 1: Ein paar Beispiele

Vorschau anzeigen
Ab dieser Folge gibt es eine Aktualisierung zu gleich zwei Themengebieten, denn Wasserloch-Angriffe ("Watering Hole Attacks") sind gezielte Drive-by-Infektionen, die meist im Rahmen von Advanced Persistent Threats zum Einsatz kommen. Eine Dri

Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit oder 0-Day-Schwachstelle - was ist denn da der Unterschied?

Vorschau anzeigen
Microsoft hat im Mai mal wieder mehrere 0-Day-Schwachstellen geschlossen. Und für den IE gab es diese Jahr bereits vier 0- Day- Exploits. Und auch für die von Microsoft geschlossenen Schwachstellen gab es bereits 0-Day-Exploits. Beide