Skip to content

Microsoft patcht außer der Reihe 0-Day-Schwachstelle im IE

Microsoft hat gestern außer der Reihe ein Update für den Internet Explorer veröffentlicht. Laut dem zugehörigen Security Bulletin MS15-093 wird die Schwachstelle mit der CVE-ID CVE-2015-2502 bereits für Angriffe ausgenutzt. Was aber zu erwarten war, denn warum sonst sollte Microsoft das Update außer der Reihe veröffentlichen?

Damit sind wir in diesem Jahr bei 14 0-Day-Exploits angekommen. Ungeschlagener Spitzenreiter ist nach wie vor der Flash Player mit bisher sieben Exploits. Außerdem gab es drei für Microsoft Office, mit dem heutigen ebenfalls drei für den Internet Exlorer und einen für Java.

Informationen mal wieder Mangelware

Die Beschreibung ist, wie bei Microsoft üblich, allgemein gehalten: Beim Betrachten einer entsprechend präparierten Webseite im Internet Explorer kann Code eingeschleust und mit den Rechten des aktuellen Benutzers ausgeführt werden. Betroffen sind der IE 7 bis 11.

Immerhin ist inzwischen auch Microsoft aufgefallen, dass der Angreifer sein Opfer nicht mehr auf seine Seite locken muss, sondern dass schon seit vielen Jahre Websites kompromittiert, Werbung manipuliert oder "User generated Content" missbraucht wird, so dass auch eigentlich vertrauenswürdige Websites den Schadcode verbreiten können. Natürlich kann der Angreifer sein Opfer nicht zwingen, auf die präparierte Seite zu gehen, das will er meist aber auch gar nicht. Die Cyberkriminellen warten ganz einfach ab, bis ihnen irgendwer ins Netz geht. Nur im Rahmen gezielter Angriffe werden die Opfer per Spearphishing auf die Seiten gelockt oder für sie interessante Websites im Rahmen von Wasserloch-Angriffen gezielt für die Drive-by-Infektionen präpariert.

"Mitigating Factors" - Ja oder Nein?

Das mit den "Mitigating Factors" muss Microsoft noch mal üben: Unter "Mitigating Factors" steht

"Microsoft has not identified any mitigating factors for the vulnerability."

und kurz danach in der FAQ steht

"Can EMET help mitigate attacks that attempt to exploit these vulnerabilities?
Yes. The Enhanced Mitigation Experience Toolkit (EMET) enables users to manage security mitigation technologies that help make it more difficult for attackers to exploit memory corruption vulnerabilities in a given piece of software. EMET can help mitigate attacks that attempt to exploit these vulnerabilities in Internet Explorer on systems where EMET is installed and configured to work with Internet Explorer."

- ja, was denn nun? Funktioniert das EMET oder nicht?

Angriffe wo und auf wen?

Und auch über die Angriffe verrät Microsoft nichts - es gibt lediglich einen Tabelleneintrag, in dem unter "Exploited" "Yes" steht. Warum überhaupt eine Tabelle, wenn es doch nur um eine Schwachstelle geht? Bisher stand in solchen Fällen dann immer dabei, dass die Schwachstelle vereinzelt ausgenutzt wurde oder so was in der Art. Tabellen gab es bisher nur, wenn mal wieder zig Memory Corruptions auf einen Schlag beseitigt wurden. Oder hat man da einfach einen für den nächsten Patchday vorgesehenen Patch vorgezogen und das Security Bulletin notdürftig angepasst?

Dabei wäre es durchaus nützlich, wenn man wüsste, ob es bisher nur vereinzelte, gezielte Angriffe gab oder ob der Exploit bereits als Teil eines Exploit-Kits im großen Maßstab für Drive-by-Infektionen eingesetzt wird.

Weiterführende Informationen? Fehlanzeige!

Microsoft bedankt sich bei Clement Lecigne von Google für die Meldung der Schwachstelle, weitere Informationen gibt es auch von ihm bisher nicht.

Auch bei den Antiviren-Herstellern sieht es bisher mit Informationen mager aus. Symantec "will continue to investigate this vulnerability and provide more details as they become available", und Trend Micro weiß auch nicht mehr, als das Security Bulletin verrät, hat dem Blogeintrag aber das Tag "Targeted Attack" verpasst. Bei den anderen Herstellern ist bisher ganz Funkstille.

Erst mal patchen!

Jetzt ist es natürlich am wichtigsten, den Patch zu testen und zu installieren - bevor der eigene Rechner zum Opfer eines Angriffs wird.

Sollte bekannt werden, dass die Schwachstelle bereits im großen Maßstab ausgenutzt wurde, sollte man sich Gedanken machen, ob man vielleicht Opfer der Angriffe wurde, bevor der Patch installiert war. Da bleibt dann nur die Hoffnung, dass der Virenscanner des geringsten Misstrauens eine mögliche Infektion mit Schadsoftware erkennt. Aber gut gemachte Schadsoftware lässt sich nicht so leicht erkennen. Zum Glück arbeiten die meisten Cyberkriminellen in der Hinsicht noch schlampig.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Microsofts November-Patchday: 4 0-Day-Schwachstellen, aber keine Exploits

Vorschau anzeigen
Am November-Patchday hat Microsoft 4 0-Day-Schwachstellen behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash Player wurden zwar 17 Schwachstelle be