Rootkit dringt über ungepatchte Lücke im Internet Explorer 6 ein [Update]
Um Opfer eines Angriffs zu werden, genügt es, eine Webseite aufzurufen, die ein präpariertes JavaScript enthält. Die Lücke wird bereits aktiv ausgenutzt.
- Daniel Bachfeld
Einem Bugtraq-Eintrag zufolge gibt es schon wieder eine neue Lücke im Internet Explorer 6, mit der ein Angreifer in einen Windows-Rechner einbrechen kann. Der Internet Explorer 7 soll nicht betroffen sein. Um Opfer eines Angriffs zu werden, genügt es nach Darstellung des Fehlerberichts, eine Webseite aufzurufen, die ein präpariertes JavaScript enthält. Ursache der Lücke soll ein Fehler im WScript.Shell-Objekt sein, über das sich Code in den Rechner einschleusen und mit den Rechten des angemeldeteten Anwenders starten lässt. Nähere Informationen dazu stellt der Autor des Fehlerberichtes Michal Bucko in einem PDF-Dokument bereit.
Der Hersteller von Netzwerkequipment Cisco hat ebenfalls schon eine Warnung zu der Lücke herausgegeben. Demzufolge soll Microsoft die Lücke bereits bestätigt haben. Cisco bewertet die Lücke mit einem CVSS-Score von 8 von 10 möglichen Punkten, also ziemlich kritisch. Ein Patch ist noch nicht verfügbar. Abhilfe bringt das Abschalten von JavaScript oder der Wechsel auf den Internet Explorer 7. In einem Test des öffentlichen verfügbaren Proof-of-Concept-Exploits kam der Internet Explorer aber nur zum Stillstand.
Michal Bucko gibt in seiner Beschreibung an, den Exploit auf einer Webseite gefunden zu haben. Unter anderem sei ein Testsystem mit einem Rootkit, ein weiteres mit einem Spambot infiziert worden. Die Angriffe auf Besucher dürften schon einige Zeit unbemerkt stattgefunden haben. In welchen Ausmaß, ist allerdings unklar.
Update
Bei der auf Bugtraq gemeldeten Lücke handelt es sich nach weiteren Analysen nicht um einen neuen Fehler, sondern um die bereits gestern bekannt gewordene Schwachstelle eines ActiveX-Controls, das in Visual Studio 2005 enthalten ist. Die Lücke wird bereits aktiv ausgenutzt, für das Exploit-Framework Metasploit gibt es auch bereits ein Modul, das das Problem demonstriert. Abhilfe schafft neben dem Abschalten von JavaScript auch das Deaktivieren von ActiveX. Alternativ hilft auch, das Kill-Bit für das verwundbare Control zu setzen.
Siehe dazu auch: (dab)
- Microsoft Internet Explorer WScript.Shell Object Arbitrary Code Execution Issue, Fehlerbericht von Cisco
- Microsoft Internet Explorer Unspecified Code Execution Vulnerability, Fehlereintrag auf Bugtraq
