Dipl.-Inform. Carsten Eilers

Am 26. April hat Microsoft ein Security Advisory zu einer neuen Schwachstelle im Internet Explorer veröffentlicht. Die Schwachstelle mit der CVE-ID CVE-2014-1776 ist im IE 6 bis 11 enthalten. Dass darüber Code eingeschleust und ausgeführt wird, braucht man ja eigentlich gar nicht mehr zu erwähnen. Und wie üblich gibt es bisher lediglich gezielte Angriffe.

Leider geht Microsoft in der Ankündigung des Advisories wie immer von falschen Voraussetzungen aus:

"... This issue allows remote code execution if users visit a malicious website with an affected browser. This would typically occur by an attacker convincing someone to click a link in an email or instant message."

Natürlich können Benutzer über per E-Mail oder IM zugeschickte Links auf eine präparierte Seite gelockt werden. Das passiert aber meist nur noch bei gezielten Angriffen (wie sie Microsoft im Fall dieses Exploits bisher beobachtet hat). Der weitaus größte Teil der Infektionen erfolgt aber über Drive-by-Infektionen, die über kompromittierte oder durch manipulierte Werbung präparierte vertrauenswürdige Websites verbreitet werden. Und diese Websites ruft der Benutzer dann im Rahmen des ganz normalen "Surfens" im Web auf.

Etliche Workarounds, aber nur wenige sind praktikabel

Microsoft schlägt im Security Advisory eine Reihe von Workarounds vor, die nur teilweise praktikabel sind:

• Einsatz des Enhanced Mitigation Experience Toolkit (EMET) 4.1 (Version 3.0 verhindert diesen Angriff nicht)
  Ein durchaus empfehlenswerter Rat, nicht nur im Fall dieser Schwachstelle.
  Update 2.5.2014:
  In Microsofts Security Research & Defense Blog wurden Erklärungen zu den vorgeschlagenen Workarounds veröffentlicht. Auch das EMET 4.0 kann die Angriffe verhindern.
  Ende des Updates vom 2.5.2014
• Setzen der Zonen-Einstellungen für Internet und Intranet auf "Hoch", damit ActiveX-Controls und JavaScript nicht mehr ausgeführt werden
  Wer diesem Rat folgt wird sich hinterher wundern, dass "das Internet" kaputt ist. Oder kennen Sie viele Websites, die ohne JavaScript noch brauchbar sind?
  Ausnahmen für "Vertrauenswürdige Websites" sind übrigens keine gute Idee - was ist, wenn so eine vertrauenswürdige Website kompromittiert wurde oder bösartige Werbung einblendet?
• Konfiguration des IE so, dass er vor der Ausführung von ActiveX-Controls und JavaScript nachfragt
  Spätestens nach der 10. Nachfrage klickt der Benutzer genervt auf "zulassen", ohne gross darüber nach zu denken, was er da gerade erlaubt. Vor allem: Woher weiß man denn, ob ein JavaScript wirklich harmlos ist oder nur so tut? Insgesamt also kein besonders zielführender Rat. Höflich formuliert.
• Registrierung der VGX.DLL löschen.
  Ein halbwegs brauchbarer Vorschlag. Danach wird VML nicht mehr dargestellt, aber darauf kann man meist verzichten.
  Für Nutzer des nicht mehr unterstützten Windows XP ist dies sehr wahrscheinlich (siehe unten) die einzig mögliche Lösung, das Problem dauerhaft los zu werden (sofern sie nicht auf einen anderen Browser ausweichen): Löschen Sie die Registrierung, verzichten Sie auf VML und aktivieren Sie die Registrierung nie wieder. Denn einen Patch von Microsoft wird es für Ihr System nicht geben.
  Update 2.5.2014:
  Microsoft hat Updates veröffentlicht - auch für Windows XP!
  Ende des Updates vom 2.5.2014
• Änderung der ACL für VGX.DLL, so dass die Gruppe "everyone" nicht mehr darauf zugreifen kann.
  Hier gilt das gleiche wie für das Löschen der Registrierung. Wenn man VML nicht braucht, ein brauchbarer Vorschlag.
• Aktivieren des "Enhanced Protected Mode" (EPM) im IE 11.
  Ein brauchbarer Ratschlag, der aber nur Benutzern des IE 11 unter Windows 7 auf x64-basierten Systemen und unter Windows 8 und 8.1 offen steht.
• Der aktuelle Exploit verwendet Flash (siehe unten) - wenn Sie den Flash Player deaktivieren, funktioniert er also nicht. Es ist aber durchaus möglich, dass die Angreifer einen anderen, nicht auf Flash angewiesenen Exploit entwickeln.
• Die einfachste Lösung hat Microsoft vergessen: Verwenden Sie einen anderen Browser.

Details zum Exploit und den Angriffen

Einige wenige weitere Informationen zum Exploit liefert ein Eintrag in Microsofts Security Research & Defense Blog. Es handelt sich um eine "Use-after-free"-Schwachstelle, die beobachteten Angriffe richten sich gegen den IE 9, 10 und 11. Der Exploit benötigt Flash und VML.

Während der Rat, die Registrierung der VGX.DLL zu löschen oder den Zugriff darauf zu verhindern, danach klingt, als befände sich die Schwachstelle in dieser DLL, sieht es hier so aus, als würde lediglich der aktuelle Exploit die DLL nutzen. Dann würde die Löschung der Registrierung die Schwachstelle unter Windows XP nicht beseitigen, sondern nur den aktuellen Exploit lahm legen, wäre also keine sichere und dauerhafte Lösung.

Update 2.5.2014:
In Microsofts Security Research & Defense Blog wurden Erklärungen zu den vorgeschlagenen Workarounds veröffentlicht. Die VGX.DLL wird wie vermutet nur für den Angriff verwendet, die Schwachstelle befindet sich nicht in dieser DLL. Es ist auch möglich, einen Exploit zu entwickeln, der nicht auf VML zurück greift.
Etwas anders (und zwar falsch) sah man das bei Websense: Dort war man der Meinung, bei der Analyse von Windows Fehler-Berichten zwei ungewöhnliche Abstürze in der VGX.DLL entdeckt zu haben, die mit den 0-Day-Exploit verbunden sein könnten. Die Verbindung besteht ganz einfach darin, dass über die DLL die eigentliche Schwachstelle ausgenutzt wird. Mit der Schwachstelle selbst haben die Abstürze nichts zu tun. Was Websense zwei Tage später in einem Nachtrag zum Blogtext auch bestätigt hat. Vielleicht sollte man sich die Abstürze aber trotzdem mal genauer ansehen - es könnte ja sein, dass da schon der nächste 0-Day-Exploit auf seine Entdeckung wartet.
Ende des Updates vom 2.5.2014

"Wer hat den 0-Day-Exploit gefunden? Natürlich FireEye"

Deutlich mehr erfährt man im Blog von FireEye, die wie so viele 0-Day-Exploits zuvor auch diesen Exploit entdeckt haben. Aktuell werden der IE 9 bis 11 angegriffen, die Schwachstelle ist aber in allen Versionen von 6 bis 11 enthalten.

Die aktuellen Angriffe wurden von FireEye "Operation Clandestine Fox" genannt, Details werden aber zumindest noch nicht verraten. Die Hintermänner haben laut FireEye bereits mehrfach Browser-basierte 0-Day-Exploits eingesetzt. Ich tippe mal, dass da wieder einige der beliebten "staatlich gesponserten" Angreifer aktiv sind.

Die Seite mit dem Exploit lädt eine Flash-Datei, um den Heap für den weiteren Angriff über Return Oriented Programming vorzubereiten. Die Flash-Datei nutzt dann JavaScript, um die Schwachstelle im IE auszunutzen und danach DEP und ASLR zu umgehen. Die Details können Sie im FireEye-Text nachlesen, da ist doch einiges an Aufwand nötig bis der eigentliche Shellcode endlich läuft. Der lädt dann weiteren Code nach, der als Bild getarnt ist. Über die eigentlichen Schadfunktionen gibt es keine Informationen, aber vermutlich wird wie üblich eine Hintertür geöffnet und irgend etwas ausgespäht, was die Betroffenen nicht gerne ausgespäht sehen möchten.

Update 2.5.2014:
FireEye hat berichtet, dass sich die "Operation Clandestine Fox" nun auch gegen Windows-XP-Systeme mit dem IE 8 richtet. Damit werden nun der IE 8 bis 11 unter Windows XP, 7 und 8 angegriffen.
Auch die Bandbreite der Angreifer und potentiellen Opfer ist gewachsen. Während sich die ersten Angriffe gegen den Verteidigungs- und Finzanzsektor richteten, wird der Exploit nun von weiteren Angreifern genutzt, die Angriffe richten sich nun auch gegen den Regierungs- und Energiesektor.
Ende des Updates vom 2.5.2014

Carsten Eilers