0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich.
Erste Angriffe am 27. 21. 7. Dezember 2012
Laut Symantec und FireEye konnten die ersten Angriffe über die am 28. Dezember gemeldete Schwachstelle CVE-2012-4792 bis zum 21. Dezember zurück verfolgt werden. Der Exploit wurde auf Website des US-amerikanischen Think Tanks "Council on Foreign Relations" (CFR) gefunden, die kompromittiert und mit dem 0-Day-Exploit zum zum Verbreiten einer Drive-by-Infektion präpariert wurde.
Am 31. Dezember hat Sophos insgesamt 6 betroffenen Websites gemeldet, außerdem konnte dort der Angriff bis zum 7. Dezember zurück verfolgt werden. Auch laut Eric Romang war die CFR-Website mindestens schon am 7. Dezember kompromittiert (sein Beweis: Googles Cache). Außerdem wurde am 18. Dezember die bereits mindestens seit Anfang September mit einem anderen Exploit präparierte Website der Capstone Turbine Corporation mit der IE-Schwachstelle präpariert.
Nach und nach wurden weitere kompromittierte Websites gefunden, darunter laut Eric Romang eine Taiwanesische Reiseagentur und eine Uigurische Website. Weiter Websites dürften folgen. Wahrscheinlich auch von anderen Angreifern, da der Exploit nun bekannt ist und sicher in Kürze in die diversen Exploit-Kits aufgenommen wird.
Angriff mittels Flash-Datei
Die Schwachstelle befindet sich zwar im Internet Explorer, ausgenutzt wird sie aber über eine Flash-Datei, die den Schadcode über Heapspraying im Speicher verteilt. Der JavaScript-Code, der den Exploit verteilt, liefert ihn nur aus, wenn die Systemsprache des Benutzers auf Englisch (U.S.), Chinesisch (China), Chinesisch (Taiwan), Japanisch, Koreanisch oder Russisch eingestellt ist. Über einen Cookie wird sicher gestellt, dass der Exploit an jeden Benutzer nur einmal ausgeliefert wird.
Der Exploit richtet sich gegen den Internet Explorer 8. Er funktioniert unter Windows XP und Windows 7 und hebelt sowohl DEP als auch ASLR aus.
Internet Explorer 6, 7 und 8 betroffen
Am 29. Dezember veröffentlichte Microsoft ein Security Advisory zur Schwachstelle: Betroffen sind Internet Explorer 6, 7 und 8 und Microsoft ist nur eine "very small number of targeted attacks" bekannt. In Microsofts Security Research & Defense Blog ist von insgesamt 4 bekannten Exploits die Rede, wo die her kommen, wird aber nicht verraten. Laut Sophos sind mindestens 6 Websites betroffen. Der Exploit richtet sich aber gegen die Benutzer der Websites, und das können ziemlich viele sein.
Außerdem macht Microsoft den alten Fehler, die Auswirkung von Drive-by-Infektionen zu übersehen:
"This would typically occur by an attacker convincing someone to click a link in an email or instant message."
Die Zeiten sind schon lange vorbei. Inzwischen nutzen die Cyberkriminellen zwei andere Ansätze: Die gleich noch beschriebenen "Wasserloch-Angriffe", wenn die Schadsoftware bestimmten Personen oder Gruppen untergeschoben werden soll, und die seit längerem bekannte "Schrotschuss-Methode" mit der Masseninfektion von Websites, zum Beispiel mittels SQL-Injection, wenn die Identität oder Art der Opfer egal ist. Gezielte Angriffe, bei denen die Opfer auf die präparierte Seite gelockt werden, kommen fast nur noch im Rahmen von Advanced Persistent Threats vor. Und selbst die werden zunehmend von Wasserloch-Angriffen abgelöst.
Ebenfalls am 29. Dezember wurde übrigens ein Exploit für das Metasploit-Framework veröffentlicht. Der Exploit ist jetzt also allgemein bekannt.
Keine brauchbaren Gegenmaßnahmen
Die vorgeschlagenen Workarounds sind mit einer Ausnahme nicht besonders hilfreich: Die Sicherheitszone auf "hoch" zu setzen, um ActiveX-Controls und Active Scripting auszuschalten, schaltet effektiv mehr oder weniger das gesamte Web aus. Wie viele der aktuellen Websites kommen denn noch ohne JavaScript aus? Das dürfte nur ein einstelliger Prozentsatz sein. Auch eine Nachfrage vor dem Ausführen von Active Scripting ist nutzlos, soweit es um Drive-by-Infektionen geht. Wer würde schon der gezielt aufgesuchten Website zum Beispiel des CFR das Ausführen von JavaScript verbieten? Lediglich die Nutzung des Enhanced Mitigation Experience Toolkit (EMET) schützt vor dem bekannten Exploit, wie Untersuchungen des ISC gezeigt haben.
Das am 31. Dezember bereit gestellte FixIt-Tool wurde bereits ausgehebelt: Am 4. Januar wurde von Exodus Intelligence (die zuvor eine gute Analyse des Exploits veröffentlicht hatten) angekündigt, dass der FixIt-Schutz umgangen werden kann. Details dazu wurden bisher nur an Microsoft und die eigenen Kunden weitergeleitet, erst wenn Microsoft einen Patch veröffentlicht hat, sollen weitere Informationen veröffentlicht werden. Es ist das erste Mal, dass ein FixIt-Schutz umgangen werden kann.
Abgesehen vom Einsatz vom EMET ist daher der Wechsel zu einem anderen Browser die sicherste Lösung. Das kann entweder ein komplett anderes Browser sein, oder die nicht betroffenen Versionen 9 und 10 des Internet Explorers.
"Wasserloch-Angriffe"
Die Schwachstelle wurde im Rahmen eines sog. "Wasserloch-Angriffs" ("Watering Hole Attack") ausgenutzt. Dabei handelt es sich um eine spezielle Art gezielter Angriffe. Es werden Webseiten kompromittiert und für Drive-by-Infektionen präpariert, die von der bzw. den Zielperson(en) aufgerufen werden. In diesem Fall aus dem Bereichen Politik, Menschenrechte und Energieversorgung. Dabei verzichten die Angreifer darauf, ihre potentiellen Opfer auf präparierte Seiten zu locken und warten stattdessen darauf, dass sie ihnen freiwillig in die Falle gehen.
Wenn die Gewohnheiten der Opfer gut genug bekannt sind, dürften sich die Erfolgsquoten von Wasserloch-Angriff und gezielten E-Mails kaum unterscheiden. Der Wasserloch-Angriff hat dabei den Vorteil, dass das eigentliche Opfer bei der Entdeckung des kompromittierten Servers nicht gewarnt wird, während er bei einer verdächtigen E-Mail in seinem Postfach danach evtl. vorsichtiger sein wird.
Symantec hat den aktuellen Angriff auf das sog. "Elderwood Project" zurückgeführt, einer Gruppe, die bereits für mehrere 0-Day-Angriffe verantwortlich war. Unter anderem die als "Operation Aurora" bekannt gewordenen Angriffe auf Google und andere Unternehmen im Dezember 2009 (bei denen es sich jedoch um einen herkömmlichen Advanced Persistent Threat handelte). Mehr dazu hat Symantec in einem Whitepaper (PDF) zusammengefasst. Außerdem gibt es eine FAQ zu den Angriffen allgemein und dem IE-Exploit insbesondere.
Wie geht es weiter?
Sofern Sie noch mit dem Internet Explorer 6, 7 oder 8 unterwegs sind, sollten Sie schnellstmöglich den Browser wechseln. Weitere Angriffe dürften in Kürze folgen. Dann kann es ihnen auch egal sein, wann Microsoft ein Update veröffentlicht. Das wird zumindest nicht am morgigen Patchday geschehen, zumindest wurde kein entsprechendes Update angekündigt. Eigentlich ist das ja auch nicht so dringend, da die aktuelle IE-Version nicht von der Schwachstelle betroffen ist. Microsoft wird sich sicher nicht überschlagen, um einen Patch für die älteren IE-Versionen zu entwickeln. Und zumindest der IE 6 sollte ja längst im digitalen Sondermüll entsorgt worden sein.
Trackbacks
Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Oracle patcht 0-Day-Schwachstelle und provoziert Entdeckung weiterer Schwachstellen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen per E-Mail und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.