Dipl.-Inform. Carsten Eilers

Das Internet Storm Center (ISC) meldet, dass der Exploit erstmals am 29. August 2013 durch einen Online-Scanner entdeckt wurde und inzwischen ein Exploit im Internet zirkuliert. Die Zeit der gezielten Angriffe dürfte also in Kürze vorbei sein, wenn sie es nicht sogar schon ist. Um auf die erhöhte Gefahr aufmerksam zu machen wurde vom ISC am 20. September das Threat-Level auf "Gelb" erhöht. Bisher wurde die Warnstufe in der Regel am nächsten Tag wieder gesenkt. Das ist diesmal nicht der Fall, auch heute, am 23.9., steht das Threat-Level noch auf "Gelb". Den aktuellen Status sehen Sie auf der Website des ISC.

Update 24.9.:
Das Threat-Level wurde im Laufe des Montags wieder auf "Grün" gesenkt, da es keine weiteren Neuigkeiten über die Schwachstelle oder den Exploit zu berichten gab. "Grün" bedeutet ungefähr "im Internet ist es genau so gefährlich wie sonst auch" ("the internet is broken as usual").
Ende des Updates

Angesichts der vielen 0-Day-Schwachstellen in diesem Jahr finde ich das bemerkenswert. Was ist an dieser 0-Day-Schwachstelle so besonderes? Nun, zumindest betrifft sie alle IE-Versionen unter allen (Desktop-)Windows-Versionen, und wenn die Cyberkriminellen es schaffen, erstens einen Exploit zu entwickeln, der unter allen IE- und Windows-Versionen lauffähig ist und diesen zweitens weit verbreitet für Drive-by-Infektionen einzusetzen, dann können sie schon gewaltigen Schaden anrichten. Aber zumindest das erste "wenn" halte ich für unwahrscheinlich - so, wie Microsoft Schwierigkeiten hatte, ein Fix-It-Tool für alle Kombinationen zu entwickeln, dürften auch die Cyberkriminellen Probleme damit bekommen, alle Kombinationen mit nur einem Exploit zu kompromittieren.

FireEye veröffentlicht Analyse

FireEye hat zwei Artikel zur 0-Day-Schwachstelle und den Angriffen darüber veröffentlicht. Im ersten Text, "Operation DeputyDog: Zero-Day (CVE-2013-3893) Attack Against Japanese Targets", geht es um allgemeine Informationen. Die Angriffe werden von FireEye "Operation DeputyDog" genannt, der erste wurde am 19. August erkannt. Die Ziele befinden sich wie bereits anderweitig berichtet alle in Japan. Der erste entdeckte Exploit lud Code von einem Server in Hong Kong nach, der eine Hintertür öffnete und Verbindung mit einem Server in Südkorea aufnahm. Ein weiterer Schädling wurde am 5. September entdeckt. Beide enthalten den String "DGGYDSYRL", aus dem "DeputyDog" als Name für die Angriffswelle abgeleitet wurde.

Die Angriffe scheinen von der gleichen Gruppe aus zu gehen, die im Februar 2013 den Sicherheitsdienstleister Bit9 angegriffen und dessen Netzwerk kompromittiert hat. Die Angreifer konnten damals Schadsoftware mit einem Codesigning-Zertifikat von Bit9 signieren. Wer hinter den Angriffen steckt, ist offen. Ebenfalls gibt es (noch) keine Informationen über die Opfer der aktuellen gezielten Angriffe.

Im zweiten Text, "Operation DeputyDog Part 2: Zero-Day Exploit Analysis (CVE-2013-3893)", wird der Exploit sowie der davon nachgeladene Shellcode beschrieben.

Schilde hoch! Workarounds aktivieren!

Wenn Sie das FixIt-Tool noch nicht verwendet haben, wird es jetzt höchste Zeit. Der Exploit wird eher früher als später in den Exploit-Kits und damit auf den damit präparierten harmlosen Websites landen. Und dann ist es für den Fix schnell zu spät und Ihr Rechner mit Schadsoftware infiziert!

Außerdem sollten Sie die Installation des Enhanced Mitigation Experience Toolkit EMET in Erwägung ziehen, das viele Exploits an der Ausführung hindert, so auch diesen. Die Konfiguration speziell für diesen Exploit wird in Microsofts Security Research & Defense Blog beschrieben.

Carsten Eilers