Exploit für Lücke im Internet Explorer in Umlauf

Für die DHTML-Schwachstelle im Internet Explorer ist bereits der erste Exploit erschienen, der auf einem verwundbaren System eine Backdoor auf dem TCP-Port 28876 öffnet.

In Pocket speichern vorlesen Druckansicht 519 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Für die DHTML-Schwachstelle im Internet Explorer ist bereits der erste Exploit erschienen, der auf einem verwundbaren System eine Backdoor auf dem TCP-Port 28876 öffnet. Bereits beim Besuch einer Web-Seite -- ohne weitere Interaktion des Anwenders -- jubelt der Server dem Browser Schadcode unter, um die Hintertür zu installieren. Verbindet sich ein Angreifer etwa per Telnet auf den Port hat er darüber Zugriff auf eine Windows-Eingabeaufforderung. Ist das Opfer als Administrator auf dem System angemeldet gewesen, hat auch der Eindringling diese Rechte und kann fortan das System kontrollieren.

Bei einem Test der heise-Security-Redaktion auf einem Windows-XP-Rechner mit SP2 warnte beim Öffnen der Hintertür aber die eingebaute XP-Firewall. Die Meldung wies darauf hin, dass der Internet Explorer einen Port öffnen möchte. Ein argloser Anwender könnte dem zustimmen. Mit einem besser programmierten Exploit ließe sich diese Warnmeldung allerdings komplett umgehen. Zudem fand der Virenscanner im Browsercache Fragmente des im Exploit enthaltenen Shell-Codes und schlug ebenfalls Alarm. Anwender, auf deren Rechner keinerlei Schutzsoftware läuft, können nur noch durch einen Blick in die Liste der geöffneten Ports (netstat -a) feststellen, ob eine Backdoor aktiv ist. Der Backdoor-Prozess selbst ist in der Prozessliste als iexplorer.exe eingetragen.

Betroffen sind Windows XP mit SP1 und SP2, sowie Windows 2000 mit SP4. Abhilfe schafft die Installation des von Microsoft zur Verfügung gestellten Sicherheitsupdates oder das Abschalten von JavaScript und Popups.

Siehe dazu auch: (dab)