Skip to content

0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012

Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich.

Erste Angriffe am 27. 21. 7. Dezember 2012

Laut Symantec und FireEye konnten die ersten Angriffe über die am 28. Dezember gemeldete Schwachstelle CVE-2012-4792 bis zum 21. Dezember zurück verfolgt werden. Der Exploit wurde auf Website des US-amerikanischen Think Tanks "Council on Foreign Relations" (CFR) gefunden, die kompromittiert und mit dem 0-Day-Exploit zum zum Verbreiten einer Drive-by-Infektion präpariert wurde.

Am 31. Dezember hat Sophos insgesamt 6 betroffenen Websites gemeldet, außerdem konnte dort der Angriff bis zum 7. Dezember zurück verfolgt werden. Auch laut Eric Romang war die CFR-Website mindestens schon am 7. Dezember kompromittiert (sein Beweis: Googles Cache). Außerdem wurde am 18. Dezember die bereits mindestens seit Anfang September mit einem anderen Exploit präparierte Website der Capstone Turbine Corporation mit der IE-Schwachstelle präpariert.

Nach und nach wurden weitere kompromittierte Websites gefunden, darunter laut Eric Romang eine Taiwanesische Reiseagentur und eine Uigurische Website. Weiter Websites dürften folgen. Wahrscheinlich auch von anderen Angreifern, da der Exploit nun bekannt ist und sicher in Kürze in die diversen Exploit-Kits aufgenommen wird.

Angriff mittels Flash-Datei

Die Schwachstelle befindet sich zwar im Internet Explorer, ausgenutzt wird sie aber über eine Flash-Datei, die den Schadcode über Heapspraying im Speicher verteilt. Der JavaScript-Code, der den Exploit verteilt, liefert ihn nur aus, wenn die Systemsprache des Benutzers auf Englisch (U.S.), Chinesisch (China), Chinesisch (Taiwan), Japanisch, Koreanisch oder Russisch eingestellt ist. Über einen Cookie wird sicher gestellt, dass der Exploit an jeden Benutzer nur einmal ausgeliefert wird.

Der Exploit richtet sich gegen den Internet Explorer 8. Er funktioniert unter Windows XP und Windows 7 und hebelt sowohl DEP als auch ASLR aus.

Internet Explorer 6, 7 und 8 betroffen

Am 29. Dezember veröffentlichte Microsoft ein Security Advisory zur Schwachstelle: Betroffen sind Internet Explorer 6, 7 und 8 und Microsoft ist nur eine "very small number of targeted attacks" bekannt. In Microsofts Security Research & Defense Blog ist von insgesamt 4 bekannten Exploits die Rede, wo die her kommen, wird aber nicht verraten. Laut Sophos sind mindestens 6 Websites betroffen. Der Exploit richtet sich aber gegen die Benutzer der Websites, und das können ziemlich viele sein.

Außerdem macht Microsoft den alten Fehler, die Auswirkung von Drive-by-Infektionen zu übersehen:

"This would typically occur by an attacker convincing someone to click a link in an email or instant message."

Die Zeiten sind schon lange vorbei. Inzwischen nutzen die Cyberkriminellen zwei andere Ansätze: Die gleich noch beschriebenen "Wasserloch-Angriffe", wenn die Schadsoftware bestimmten Personen oder Gruppen untergeschoben werden soll, und die seit längerem bekannte "Schrotschuss-Methode" mit der Masseninfektion von Websites, zum Beispiel mittels SQL-Injection, wenn die Identität oder Art der Opfer egal ist. Gezielte Angriffe, bei denen die Opfer auf die präparierte Seite gelockt werden, kommen fast nur noch im Rahmen von Advanced Persistent Threats vor. Und selbst die werden zunehmend von Wasserloch-Angriffen abgelöst.

Ebenfalls am 29. Dezember wurde übrigens ein Exploit für das Metasploit-Framework veröffentlicht. Der Exploit ist jetzt also allgemein bekannt.

Keine brauchbaren Gegenmaßnahmen

Die vorgeschlagenen Workarounds sind mit einer Ausnahme nicht besonders hilfreich: Die Sicherheitszone auf "hoch" zu setzen, um ActiveX-Controls und Active Scripting auszuschalten, schaltet effektiv mehr oder weniger das gesamte Web aus. Wie viele der aktuellen Websites kommen denn noch ohne JavaScript aus? Das dürfte nur ein einstelliger Prozentsatz sein. Auch eine Nachfrage vor dem Ausführen von Active Scripting ist nutzlos, soweit es um Drive-by-Infektionen geht. Wer würde schon der gezielt aufgesuchten Website zum Beispiel des CFR das Ausführen von JavaScript verbieten? Lediglich die Nutzung des Enhanced Mitigation Experience Toolkit (EMET) schützt vor dem bekannten Exploit, wie Untersuchungen des ISC gezeigt haben.

Das am 31. Dezember bereit gestellte FixIt-Tool wurde bereits ausgehebelt: Am 4. Januar wurde von Exodus Intelligence (die zuvor eine gute Analyse des Exploits veröffentlicht hatten) angekündigt, dass der FixIt-Schutz umgangen werden kann. Details dazu wurden bisher nur an Microsoft und die eigenen Kunden weitergeleitet, erst wenn Microsoft einen Patch veröffentlicht hat, sollen weitere Informationen veröffentlicht werden. Es ist das erste Mal, dass ein FixIt-Schutz umgangen werden kann.

Abgesehen vom Einsatz vom EMET ist daher der Wechsel zu einem anderen Browser die sicherste Lösung. Das kann entweder ein komplett anderes Browser sein, oder die nicht betroffenen Versionen 9 und 10 des Internet Explorers.

"Wasserloch-Angriffe"

Die Schwachstelle wurde im Rahmen eines sog. "Wasserloch-Angriffs" ("Watering Hole Attack") ausgenutzt. Dabei handelt es sich um eine spezielle Art gezielter Angriffe. Es werden Webseiten kompromittiert und für Drive-by-Infektionen präpariert, die von der bzw. den Zielperson(en) aufgerufen werden. In diesem Fall aus dem Bereichen Politik, Menschenrechte und Energieversorgung. Dabei verzichten die Angreifer darauf, ihre potentiellen Opfer auf präparierte Seiten zu locken und warten stattdessen darauf, dass sie ihnen freiwillig in die Falle gehen.

Wenn die Gewohnheiten der Opfer gut genug bekannt sind, dürften sich die Erfolgsquoten von Wasserloch-Angriff und gezielten E-Mails kaum unterscheiden. Der Wasserloch-Angriff hat dabei den Vorteil, dass das eigentliche Opfer bei der Entdeckung des kompromittierten Servers nicht gewarnt wird, während er bei einer verdächtigen E-Mail in seinem Postfach danach evtl. vorsichtiger sein wird.

Symantec hat den aktuellen Angriff auf das sog. "Elderwood Project" zurückgeführt, einer Gruppe, die bereits für mehrere 0-Day-Angriffe verantwortlich war. Unter anderem die als "Operation Aurora" bekannt gewordenen Angriffe auf Google und andere Unternehmen im Dezember 2009 (bei denen es sich jedoch um einen herkömmlichen Advanced Persistent Threat handelte). Mehr dazu hat Symantec in einem Whitepaper (PDF) zusammengefasst. Außerdem gibt es eine FAQ zu den Angriffen allgemein und dem IE-Exploit insbesondere.

Wie geht es weiter?

Sofern Sie noch mit dem Internet Explorer 6, 7 oder 8 unterwegs sind, sollten Sie schnellstmöglich den Browser wechseln. Weitere Angriffe dürften in Kürze folgen. Dann kann es ihnen auch egal sein, wann Microsoft ein Update veröffentlicht. Das wird zumindest nicht am morgigen Patchday geschehen, zumindest wurde kein entsprechendes Update angekündigt. Eigentlich ist das ja auch nicht so dringend, da die aktuelle IE-Version nicht von der Schwachstelle betroffen ist. Microsoft wird sich sicher nicht überschlagen, um einen Patch für die älteren IE-Versionen zu entwickeln. Und zumindest der IE 6 sollte ja längst im digitalen Sondermüll entsorgt worden sein.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?

Vorschau anzeigen
Wir haben gerade mal den 11. Februar und schon die x-te 0-Day-Schwachstelle. Wobei man sich über den Wert von x streiten kann. Aber selbst im günstigsten Fall ist der drei: Erst die 0-Day-Schwachstelle in Java und nun zwei im Flash Playe

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader

Vorschau anzeigen
Es gibt schon wieder neue 0-Day-Schwachstellen, diesmal zwei Stück im Adobe Reader. So langsam überlege ich, ob es sich lohnt, dafür eine neue Kategorie einzurichten. Oder sollte ich den "Standpunkt" einfach umbenennen? Auch eine &U

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.

Vorschau anzeigen
Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt. Das folgende basiert lose auf der "Timeline: Hacks Rela

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt

Vorschau anzeigen
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F

Dipl.-Inform. Carsten Eilers am : Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8

Vorschau anzeigen
Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im Internet Explorer, allerdings nur in Version 8. Und wie die 0-Day-Schwachstelle im Dezember 2012 wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen w

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2013 eingesetzten 0-Day-Exploits: Nummer Veröffentlicht Gepatcht Programm(Link zum Blog-Artikel) CVE-ID 1

Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen per E-Mail und mehr

Vorschau anzeigen
Zum Abschluss des "Updates" zu Drive-by-Infektionen gibt es eine bunte Mischung von Informationen. Los geht es mit einem äußerst unschönen Angriff, bei dem die Drive-by-Infektion ungefragt ins Haus kommt: Drive-by-E-Mails I

Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar

Vorschau anzeigen
Es gibt schon wieder eine neue 0-Day-Schwachstelle, die fünfte in diesem Jahr. Diesmal befindet sich die Schwachstelle in MS Word, sie kann aber auch über die Vorschau in Outlook ausgenutzt werden. Microsoft warnt vor Angriffen

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!