Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF
Das ist alles total übertrieben. Wieso? Weil es "nur" eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!
Die Details zur aktuellen Schwachstelle ...
... sind ziemlich mager. Und das aus guten Grund: Man möchte es den Cyberkriminellen ja nicht leichter machen als nötig.
Am 4. Dezember hat die Zero Day Initiative bekannt gegeben, dass es eine Schwachstelle im Internet Explorer gibt, die die Ausführung von Code erlaubt, wenn zum Beispiel eine präparierte Webseite aufgerufen wird. Beschrieben wird sie so:
"The vulnerability relates to how Internet Explorer uses reference counting to manage the lifetimes of the in-memory objects representing HTML elements (CElement objects). By applying a CSS style of display:run-in to a page and performing particular manipulations, an attacker can cause an object's reference count to fall to zero prematurely, causing the object to be freed. Internet Explorer will then continue using this object after it has been freed. An attacker can leverage this vulnerability to execute code under the context of the current process."
So, jetzt wissen Sie ja wohl, wie Sie diese Schwachstelle sofort ausnutzen können, oder? Ach, nicht? Sehen Sie, und mehr wissen die potentiellen Angreifer auch nicht. Natürlich ist es leichter, eine Schwachstelle zu finden, von der man weiß, wo sie sich ungefähr befindet, als wenn man bei 0 anfangen müsste. Aber bis zur tatsächlichen Entdeckung der Schwachstelle und dem Schreiben eines Exploits dauert es dann doch noch ein bisschen.
Die Schwachstelle hat die CVE-ID CVE-2014-8967 und wurde Microsoft am 3. Juni gemeldet. Am 14. November teilte Microsoft mit, dass man die Schwachstelle nicht innerhalb der zugestandenen 180 Tage patchen kann. Woraufhin die ZDI Microsoft informiert hat, dass man die Schwachstelle dann veröffentlichen wird.
Wie schützt man sich vor den Angriffen?
Die es wohlgemerkt noch nicht gibt! Aber wenn Sie auf Nummer Sicher gehen wollen gelten die üblichen Schutzmaßnahmen vor webbasierten Angriffen: Entweder Sie verzichten auf den IE als Browser, oder Sie verzichten auf aktive Inhalte und damit so ziemlich alles, was das Web 2.0 benutzbar macht. Das EMET kann ebenfalls vor einem Angriff schützen, Sie haben also im Prinzip die Wahl zwischen drei Möglichkeiten:
- Sie verwenden einen anderen Browser.
Und hoffen dann, dass der nicht als nächstes angegriffen wird, während die Cyberkriminellen diese 0-Day-Schwachstelle links liegen lassen. - Sie verwenden weiter den IE, schalten aber alle aktiven Inhalte
ab.
Danach läuft dann zwar nicht mehr viel im Web 2.0, aber das ist dann eben einer der beliebten Kollateralschäden.
Völlig zwecklos ist die Option, aktive Inhalte erst nach Rückfrage auszuführen. Die meisten Drive-by-Infektionen erfolgen inzwischen über kompromittierte vertrauenswürdige Websites oder präparierte Werbeanzeigen darin, und den vertrauenswürdigen Websites wird man ja im allgemeinen die Ausführung aktiver Inhalte erlauben. Was dann auch den Angriffscode betrifft. - Sie verwenden den IE mit dem EMET, dass das Ausnutzen der
Schwachstelle erschwert.
Und hoffen, dass die Cyberkriminellen nicht ausgerechnet einen Exploit entwickeln, der das EMET unterläuft. Was zugegebenermaßen deutlich schwieriger ist als die Entwicklung eines Exploits, der keine Mitigations umgeht.
Einen Angriffsvektor können Sie aber relativ problemlos schließen: Angriffe über HTML-Mails. Die werden von Microsoft Outlook, Microsoft Outlook Express und Windows Mail zwar sowieso nur in der "Restricted Sites"-Zone und damit ohne die Ausführung aktiver Inhalte geöffnet, sicherer ist es aber, generell auf HTML in Mails zu verzichten.
Leider gehen immer mehr Unternehmen dazu über, Newsletter und ähnliches nur noch als HTML-Mail ohne den eigentlich vorgesehenen Plain-Text-Teil zu verschicken, da hilft dann nur das Öffnen der Web-Version im Browser. Was wiederum Angriffe über Browser-Schwachstellen erleichtert.
Gibt Microsoft jetzt Gas?
Ich bin gespannt, ob Microsoft die Schwachstelle am morgigen Patchday behebt. Es wäre nicht das erste Mal, dass ein Patch plötzlich ganz schnell fertig war, nachdem die Existenz der Schwachstelle öffentlich bekannt wurde. Vielleicht hilft das ja auch diesmal wieder, Microsofts Arbeit zu beschleunigen. Wobei man aber auch zugeben muss, dass die dieses Jahr bereits etliche über 0-Day-Exploits ausgenutzte Schwachstellen fixen mussten, da steht eine noch nicht ausgenutzte Schwachstelle natürlich nicht ganz oben auf der ToDo-Liste.
Es ist übrigens die zweite in diesem Jahr von der ZDI als 0-Day veröffentlichte Schwachstelle (übrigens wurde für die andere Schwachstelle zumindest vor der Veröffentlichung des Patches kein Exploit entdeckt, wie es danach aussah weiß ich nicht). Während es bereits vier 0-Day-Exploits für den IE gab, von den weiteren 0-Day-Exploits für Microsoft-Software ganz zu schweigen. Es ist also gut möglich, dass Microsoft am morgigen Patchday eine wirklich kritische Schwachstelle patcht, für die bereits ein Exploit unterwegs ist. Die ist dann vielleicht ein Grund zur Panik, diese reine Schwachstelle ist es nicht.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Microsoft patcht, und wieder sind 0-Day-Schwachstellen dabei!
Vorschau anzeigen