0-Day-Exploit für Internet Explorer entdeckt
FireEye hat einen 0-Day-Exploit für den Internet Explorer entdeckt. Der im Rahmen einer Drive-by-Infektion eingesetzte Exploit kombiniert ein Informationsleck und einen "out-of-bounds memory access" zur Ausführung eingeschleusten Schadcodes. Es handelt sich um den 18. 0-Day-Exploit in diesem Jahr, zum 5. Mal ist der Internet Explorer betroffen.
Ein Exploit, zwei Schwachstellen, zwei Schritte
Über das Informationsleck wird der Timestamp der PE-Header der
Bibliothek msvcrt.dll
ermittelt. Der Timestamp wird dann an
den Server der Angreifer geschickt, um dort einen zur
msvcrt.dll
-Version passenden Exploit auszuwählen. Diese
Schwachstelle betrifft Windows XP mit dem IE 8 und Windows 7 mit dem IE 9.
Der Exploit für die "out-of-bounds memory access"-Schwachstelle
nutzt im Rahmen des
Return-oriented programming
(ROP) an die jeweilige msvcrt.dll
-Version angepasste
Befehlsketten zum Umgehen der Data Execution Prevention (DEP). Er
funktioniert unter Windows XP mit dem IE 7 und 8 sowie unter Windows 7, die
Schwachstelle selbst ist aber im IE 7, 8, 9 und 10 vorhanden. Der Angriff
auf diese Schwachstelle kann laut Microsoft über das EMET abgewehrt
werden.
Leider hat man vergessen, zu verraten, wie. Ich kann das jetzt nicht
überprüfen, vermute aber, dass die Adress Space Layout
Randomization (ASLR) für die Bibliothek msvcrt.dll
nicht
aktiviert ist. Durch das Einschalten des ASLR über das EMET
würde die Bibliothek an zufällige Adressen geladen, so dass die
im Exploit verwendeten Adressen für die ROP-Befehle nicht mehr stimmen
und der Exploit keinen Code mehr anspringen und ausführen kann.
Der Exploit nutzt beim Einschleusen des Schadcodes eine interessante
Taktik: Der Code wird direkt in rundll32.exe
eingeschleust und
nicht als ausführbares Programm heruntergeladen und dann gestartet.
Der Exploit erzeugt also keine verräterische Datei auf der Festplatte.
Der Nachteil für die Angreifer: Nach einem Reboot der Rechners ist der
Schadcode entfernt, es erfolgt keine dauerhafte Kompromittierung, wie es
sonst im Rahmen von Advanced Persistant Threats üblich ist. Vielleicht
verlassen sich die Angreifer aber auch darauf, dass die Opfer die
kompromittierte Website regelmäßig besuchen, so dass ihre
Rechner bei jedem Besuch erneut kompromittiert werden können.
Jedenfalls so lange, wie die Website kompromittiert bleibt.
Die Angriffe
Der Exploit wird im Rahmen eines Wasserloch-Angriffs gegen Englisch-sprachige Versionen des IE eingesetzt, sollte aber auch an andere Sprachversionen angepasst werden können. Entdeckt wurde er auf einer kompromittierten Website in den USA.
Weitere Informationen liegen noch nicht vor. FireEye arbeitet mit Microsoft zusammen an der Analyse des Exploits und der Schwachstellen, die Antivirenhersteller haben bisher nicht mit Blogartikeln auf den Angriff reagiert.
Update 11.11.2013
FireEye hat weitere
Informationen
veröffentlicht:
Bei der kompromittierten Website handelt es sich um eine
"strategically important website, known to draw visitors that are
likely interested in national and international security policy",
Ziel der Angriffe sind also Sicherheitsbehörden und ähnliche
Organisationen. FireEye konnte eine Verbindung zur "Operation DeputyDog"
feststellen, und damit zur 0-Day-Schwachstelle im Internet Explorer
aus dem August/September.
Ende des Updates vom 11.11.
Update 12.11.2013
Dies ist mal wieder einer der Fälle, in denen Schwachstellen mehr als
einmal entdeckt wurden: Microsoft hat
bekanntgegeben,
dass ein Patch für eine der Schwachstellen, die die CVE-ID
CVE-2013-3918
erhalten hat, bereits Bestandteil des am heutigen regulären Patchday
erscheinenden Updates für den IE ist. Vermutlich handelt es sich bei
der Schwachstelle um den "out-of-bounds memory access".
Ende des Updates vom 12.11.
2. Update 12.11.2013
Microsoft hat das Security Bulletion
MS13-090
und die zugehörigen Updates veröffentlicht. Wie vermutet, wird die
Codeausführungs-Schwachstelle behoben. Anders als erwartet aber nicht
durch einen Patch, sondern indem für das betroffene ActiveX-Control das
KillBit gesetzt wird, so dass es der Internet Explorer nicht mehr lädt.
Ein
Eintrag
in Microsofts Security Resarch & Defense Blog liefert einige (wenige)
zusätzliche Informationen. Die wichtigste: Das Informationsleck wird
irgendwann später geschlossen, da es nur Angriffe erleichtert, sie aber
nicht erlaubt.
Ende des 2. Updates vom 12.11.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen per E-Mail und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe über 0-Day-Schwachstelle im Internet Explorer
Vorschau anzeigen