Skip to content

Eine neue 0-Day-Schwachstelle im IE, diesmal ohne Angriff darauf

Es gibt eine neue 0-Day-Schwachstelle im Internet Explorer. Diesmal ausnahmsweise ohne zugehörigen Exploit, zumindest zur Zeit droht also noch keine Gefahr. Aber das kann sich unter Umständen schnell ändern.

Die Schwachstelle

Die Schwachstelle mit der CVE-ID CVE-2014-1770 wurde am 21. Mai von der Zero Day Initiative veröffentlicht.

Die von Peter 'corelanc0d3r' Van Eeckhoutte entdeckte Schwachstelle tritt beim Verarbeiten von CMarkup-Objekten auf. Innerhalb von CMarkup::CreateInitialMarkup wird Speicher reserviert, der nach Ausführung bestimmten JavaScript-Codes frei gegeben wird, gefolgt von einem Aufruf von CollectGarbage. Ein Angreifer kann Elemente der HTML-Datei so manipulieren, dass ein vorhandener Pointer nach seiner Freigabe erneut verwendet wird ("Use-after-free") und dadurch eingeschleusten Code ausführen.

Betroffen von der Schwachstelle ist laut dem Advisory (nur?) der Internet Explorer 8.

Wieso Veröffentlichung als 0-Day-Schwachstelle?

Diese Schwachstelle kann wunderbar als klassisches Beispiel für das Entstehen einer 0-Day-Schwachstelle dienen, wie ich es gerade erst am Montag beschrieben habe: Die ZDI hat die Schwachstelle an Microsoft gemeldet, Microsoft hat nicht angemessen reagiert, die ZDI hat die Schwachstelle veröffentlicht.

Genaueres verrät die "Vendor Contact Timeline":

11. Oktober 2013 - Die ZDI hat die Schwachstelle an Microsoft gemeldet
10. Februar 2014 - Microsoft bestätigt, dass man die Schwachstelle nachvollziehen konnte
9. April 2014 - Die 180 Tage, innerhalb denen die ZDI einen Patch erwartet, sind abgelaufen
8. Mai 2014 - Die ZDI hat Microsoft darüber informiert, dass die Schwachstelle veröffentlicht werden soll
21. Mai 2014 - Das Advisory der ZDI wurde veröffentlicht

Mit anderen Worten: Microsoft hat nicht rechtzeitig einen Patch entwickelt, also wurde die Schwachstelle veröffentlicht. Meist führt so eine Veröffentlichung dazu, dass dann doch recht zügig ein Patch erscheint. Warten wir mal ab, wie es in diesem Fall ist.

Workarounds

Bisher gibt es weder einen Proof-of-Concept noch einen Exploit, aber das kann sich beides schnell ändern. Wahrscheinlich hat Peter Van Eeckhoutte einen funktionsfähigen PoC, die Frage ist nur, ob und wenn ja wann der veröffentlicht wird. Aber sehr wahrscheinlich sind schon die ersten Forscher und Cyberkriminellen dabei, sich alles rund um CMarkup genau an zu sehen und/oder per Fuzzing der Schwachstelle auf die Spur zu kommen um dann einen PoC oder Exploit zu entwickeln.

Da es keinen Patch gibt, wären Workarounds hilfreich. Vor allem, da das eine der Schwachstellen ist, die sich sehr gut im Rahmen von Drive-by-Infektionen ausnutzen lassen. Leider gibt es wie üblich keine wirklich praktikablen Workarounds außer "Wechseln Sie den Browser". Denn die Workarounds laufen wie üblich darauf hinaus, das Web mit dem IE unbenutzbar zu machen: Das Ausschalten von JavaScript oder das Einschalten der Nachfrage vor dem Ausführen von JavaScript-Code sorgen dafür, dass die meisten Websites entweder nicht mehr funktionieren oder nicht mehr wirklich brauchbar sind.

Auch das Enhanced Mitigation Experience Toolkit (EMET) könnte Angriffe auf die Schwachstelle erschweren, aber um das passend konfigurieren zu können müsste man erst mal wissen, wo/wie der Exploit angreift. So lange es keinen Exploit gibt kann man nur alles so sicher wie möglich konfigurieren und hoffen, dass das reicht. Was es sehr wahrscheinlich tun wird. Wirklich sicher kann man sich aber erst sein, wenn es einen Exploit gibt und der nicht doch einen Weg um den EMET-Schutz herum implementiert. Denn über EMET werden ja nur Mitigations konfiguriert, und die lassen sich bekanntlich mitunter umgehen.

Wie geht es weiter?

Jetzt ist Microsoft am Zug: Dort muss man einen Patch entwickeln und veröffentlichen. Möglichst, bevor die Cyberkriminellen die Schwachstelle mit einem 0-Day-Exploit ausnutzen. Microsoft hatte 180 Tage Zeit, einen Patch zu entwickeln, und hat es nicht geschafft. Jetzt ist das Wettrennen mit den Cyberkriminellen eröffnet. Microsoft hat zwar 180 Tage Vorsprung vor den jetzt startenden Cyberkriminellen, aber ob der reicht?

Nachtrag 11.6.2014
Microsoft hat die Schwachstelle am Juni-Patchday behoben (MS14-035). Bisher ist kein Exploit für die Schwachstelle bekannt.
Ende des Nachtrags vom 11.6.2014

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2014 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2014 eingesetzten 0-Day-Exploits. Den Überblick für 2013 finden Sie hier. Nummer Veröffentlicht Gepatcht Programm(Link zum Blog-Artikel)

Dipl.-Inform. Carsten Eilers am : Ein paar Lesetipps zum Wochenanfang

Vorschau anzeigen
Aus Zeitmangel muss der "Standpunkt" diese Woche sehr kurz ausfallen, im wesentlichen gibt es daher ein paar Lesetipps: Neues zur IE-0-Day-Schwachstelle Es gibt zwei Neuigkeiten zur aktuellen 0-Day-Schwachstelle im Internet Explorer: Peter

Dipl.-Inform. Carsten Eilers am : Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!

Vorschau anzeigen
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF Das ist alles total übertrieben. Wieso? Weil es "nur" eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie weg