Scharfer Internet-Explorer-Exploit veröffentlicht

Nachdem am Donnerstag ein neuer Fehler im Internet Explorer bekannt wurde, der selbigen zumindest zum Absturz brachte, gibt es jetzt eine Demonstration der Lücke, mit der sich die volle Kontrolle über das System erlangen lässt.

In Pocket speichern vorlesen Druckansicht 243 Kommentare lesen
Lesezeit: 3 Min.

Das French Security Incident Response Team (FrSIRT) hat einen funktionierenden Exploit für die am Donnerstag gemeldete Schwachstelle des Internet Explorer bei der Behandlung von COM-Objekten veröffentlicht, der Code in ein System einschleust und ausführt. Microsoft konnte das von der Firma SEC Consult gemeldete Problem zunächst nicht nachvollziehen. Als die Österreicher das Problem daraufhin veröffentlichten, gelang dies dann doch noch und Microsoft stellte sogar ein vorläufiges Advisory zu dem Sachverhalt bereit. Die von SEC Consult veröffentlichte Demo brachte den Microsoft-Browser nur zum Absturz, der Exploit des FrSIRT demonstriert nun, dass es über speziell präparierte Object-Tags mit einem Aufruf des COM-Objekts javaprxy.dll tatsächlich möglich ist, dass eine Web-Seite die volle Kontrolle über ein System übernimmt.

In Tests von heise Security genügte es, eine mit dem Exploit präparierte Web-Seite zu öffnen, um sich den einfachen Demo-Trojaner einzufangen, der einen Kommandzeilenprompt auf einem TCP-Port zur Verfügung stellt. Der auf dem System installierte Kaspersky-Virenscanner meldete dabei einen IFrame-Buffer-Overflow-Exploit -- wahrscheinlich, weil das FrSIRT einfach den Shellcode aus diesem Exploit wiederverwendet hat. Echte Angreifer würden sich da sicher mehr Mühe geben, verborgen zu bleiben. Die Windows-Firewall meldete sich ebenfalls zu Wort und warnte, dass sie Funktionen des Internet Explorer geblockt hätte und ob der Anwender diese freigeben möchte. Auch diese Warnung wird man bei einem echten Exploit kaum zu Gesicht bekommen.

Es ist zu befürchten, dass sehr bald modifizierte Versionen des Exploit im Internet auftauchen, die dann beispielsweise richtige Trojanische Pferde oder Spyware aus dem Internet nachladen und starten -- ohne Warnungen von Virenscannern oder Personal Firewall. Deshalb sollten sich Anwender bis Microsoft einen Patch bereitstellt, unbedingt selbst schützen. Dazu empfiehlt Microsoft, die Sicherheitseinstellungen des Internet Explorer auf "Hoch" zu setzen. Es genügt jedoch auch, wie im c't-Browsercheck beschrieben, die Ausführung von ActiveX zu deaktivieren. Weitere Schutzmaßnahmen wie das Deaktivieren des COM-Objekts javaprxy.dll beschreibt das Microsoft-Advisory. Wer mit eingschränkten Rechten surft, ist generell einem geringeren Risiko ausgesetzt, da ein Exploit maximal seine Rechte erlangen kann.

Betroffen sind alle Versionen des Internet Explorer, Nutzer anderer Browser müssen sich über die Lücke keine Sorgen machen.

Siehe dazu auch: (ju)