0-Day-Schwachstelle im Internet Explorer, die dritte
Es gibt schon wieder eine 0-Day-Schwachstelle im Internet Explorer. Insgesamt die 15. in diesem Jahr, und die dritte im Internet Explorer (und dann gab es da ja auch noch die Ende Dezember 2012 im IE gemeldete, die es fast in dieses Jahr geschafft hätte). Diesmal hat mal wieder Microsoft als erster vor der Schwachstelle gewarnt:
Microsoft veröffentlicht Advisory und Workaround
Am 17.9. hat Microsoft ein Security Advisory für den Internet Explorer veröffentlicht. Betroffen sind alle Versionen des Internet Explorer (6 bis 11), die Schwachstelle wird in gezielten Angriffen auf den Internet Explorer 8 und 9 ausgenutzt, um Code einzuschleusen. Ein FixIt-Tool installiert einen Workaround, der diese Angriffe verhindert.
Spurensuche
In Microsofts Security Research & Defense Blog gibt es
weitere Informationen:
Der ausschließlich in JavaScript implementierte Exploit funktioniert nur
unter Windows XP und Windows 7 (und mit dem IE 8 und 9). Bei der
Schwachstelle handelt es sich um eine Use-After-Free-Schwachstelle in der
HTML-Rendering-Engine. Die
Adress Space Layout Randomization
(ASLR) wird umgangen, indem die ASLR nicht nutzende DLL
hxds.dll
aus Microsoft Office für Return Oriented Programming
missbraucht
wird.
Einen weiteren Informationsschnipsel gibt es im CVE-Eintrag zur
Schwachstelle,
CVE-2013-3893:
Demnach befindet sich die Schwachstelle in der Implementierung von
SetMouseCapture
(was auch schon der Eintrag im Security
Research & Defense Blog vermuten lässt) und wird über
präparierte JavaScript-Strings ausgenutzt. Außerdem ist im
Eintrag ein
Pastebin-Eintrag
mit einer ersten Analyse des Workarounds aufgeführt.
Was schreiben die Antivirenhersteller?
Gibt es Informationen über die laut Microsoft vereinzelten, gezielten Angriffe? Darüber müssten ja die Antivirenhersteller Bescheid wissen. Aber in der Hinsicht sieht es mager aus. Bei Sophos gibt es gar keine Informationen über den Exploit, nur Hinweise zu den Workarounds und Schutzmaßnahmen. Auch bei ESET gibt es keine Hinweise auf die Angriffe. Und genauso sieht es bei Symantec und F-Secure aus. Überall wird nur auf Microsofts Advisory und den Workaround verwiesen.
Die einzige weitere Information liefern Wolfgang Kandek von Qualys und die Websense Security Labs, laut denen die gezielten Angriffe, von denen Microsoft berichtet, auf Japan beschränkt sind.
Die üblichen Vorhersagen
Eigentlich muss man das ja gar nicht mehr erwähnen, sicherheitshalber tue ich es aber doch: Nachdem das FixIt-Tool veröffentlicht wurde und die Cyberkriminellen den Workaround analysieren können wird es erfahrungsgemäß nicht mehr lange dauern, bis ein Exploit in den Exploit-Kits aufgenommen wird, um die Schwachstelle im Rahmen von Drive-by-Infektionen auszunutzen. Ob der Workaround auch vor diesen Angriffen schützen wird, bleibt abzuwarten.
Was ist zu tun?
Wenn Sie den Internet Explorer nutzen, sollten Sie das FixIt-Tool nutzen. Und zwar auch dann, wenn sie nicht den IE 8 oder 9 unter Windows XP oder 7 nutzen. Zur Zeit werden zwar nur diese Kombinationen angegriffen, aber das muss beim Einsatz eines Exploits im Rahmen von Drive-by-Infektionen nicht so bleiben. Eben so wenig wie der Angriff zwingend auf Microsoft Office angewiesen ist. Lediglich der aktuelle Angriff nutzt die Office-DLL zum Umgehen der ASLR. Das kann sich jederzeit ändern, und ein anderer Exploit wird vermutlich sowieso einen anderen Weg zum Umgehen der Schutzmaßnahmen wählen.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Exploit für 0-Day-Schwachstelle im IE kursiert - Alarmstufe Gelb für das Internet!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zur IE-0-Day-Schwachstelle und Angriffen auf und über WordPress-Blogs
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Exploit für IE 0-Day-Schwachstelle in Metasploit
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein Patch für den IE und ein Angriff auf Adobe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft patcht zwei(!) 0-Day-Schwachstellen im IE
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : IE: Ein 0-Day-Exploit für zwei Angriffe?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe
Vorschau anzeigen