Dipl.-Inform. Carsten Eilers

Am 17.9. hat Microsoft ein Security Advisory für den Internet Explorer veröffentlicht. Betroffen sind alle Versionen des Internet Explorer (6 bis 11), die Schwachstelle wird in gezielten Angriffen auf den Internet Explorer 8 und 9 ausgenutzt, um Code einzuschleusen. Ein FixIt-Tool installiert einen Workaround, der diese Angriffe verhindert.

Spurensuche

In Microsofts Security Research & Defense Blog gibt es weitere Informationen: Der ausschließlich in JavaScript implementierte Exploit funktioniert nur unter Windows XP und Windows 7 (und mit dem IE 8 und 9). Bei der Schwachstelle handelt es sich um eine Use-After-Free-Schwachstelle in der HTML-Rendering-Engine. Die Adress Space Layout Randomization (ASLR) wird umgangen, indem die ASLR nicht nutzende DLL hxds.dll aus Microsoft Office für Return Oriented Programming missbraucht wird.

Einen weiteren Informationsschnipsel gibt es im CVE-Eintrag zur Schwachstelle, CVE-2013-3893: Demnach befindet sich die Schwachstelle in der Implementierung von SetMouseCapture (was auch schon der Eintrag im Security Research & Defense Blog vermuten lässt) und wird über präparierte JavaScript-Strings ausgenutzt. Außerdem ist im Eintrag ein Pastebin-Eintrag mit einer ersten Analyse des Workarounds aufgeführt.

Was schreiben die Antivirenhersteller?

Gibt es Informationen über die laut Microsoft vereinzelten, gezielten Angriffe? Darüber müssten ja die Antivirenhersteller Bescheid wissen. Aber in der Hinsicht sieht es mager aus. Bei Sophos gibt es gar keine Informationen über den Exploit, nur Hinweise zu den Workarounds und Schutzmaßnahmen. Auch bei ESET gibt es keine Hinweise auf die Angriffe. Und genauso sieht es bei Symantec und F-Secure aus. Überall wird nur auf Microsofts Advisory und den Workaround verwiesen.

Die einzige weitere Information liefern Wolfgang Kandek von Qualys und die Websense Security Labs, laut denen die gezielten Angriffe, von denen Microsoft berichtet, auf Japan beschränkt sind.

Die üblichen Vorhersagen

Eigentlich muss man das ja gar nicht mehr erwähnen, sicherheitshalber tue ich es aber doch: Nachdem das FixIt-Tool veröffentlicht wurde und die Cyberkriminellen den Workaround analysieren können wird es erfahrungsgemäß nicht mehr lange dauern, bis ein Exploit in den Exploit-Kits aufgenommen wird, um die Schwachstelle im Rahmen von Drive-by-Infektionen auszunutzen. Ob der Workaround auch vor diesen Angriffen schützen wird, bleibt abzuwarten.

Was ist zu tun?

Wenn Sie den Internet Explorer nutzen, sollten Sie das FixIt-Tool nutzen. Und zwar auch dann, wenn sie nicht den IE 8 oder 9 unter Windows XP oder 7 nutzen. Zur Zeit werden zwar nur diese Kombinationen angegriffen, aber das muss beim Einsatz eines Exploits im Rahmen von Drive-by-Infektionen nicht so bleiben. Eben so wenig wie der Angriff zwingend auf Microsoft Office angewiesen ist. Lediglich der aktuelle Angriff nutzt die Office-DLL zum Umgehen der ASLR. Das kann sich jederzeit ändern, und ein anderer Exploit wird vermutlich sowieso einen anderen Weg zum Umgehen der Schutzmaßnahmen wählen.

Carsten Eilers