Angreifer nutzen ungepatchte Internet-Explorer-Lücke aus

Cyber-Ganoven nutzen eine bislang offenbar unbekannte und ungepatchte Schwachstelle im Internet Explorer aus, um Rechner mit Malware zu infizieren, wie Eric Romang in seinem Blog berichtet. Die Lücke hängt anscheinend damit zusammen, wie der IE <img>-Elemente in HTML-Dateien verarbeitet. Bislang haben es die Angreifer ausschließlich auf die IE-Versionen 7 und 8 unter Windows XP abgesehen. Ob der Exploit auch in Verbindungen mit anderen Software-Konstellationen zündet, ist noch unklar.

Romang hat den Angriffscode auf einem Server entdeckt, der vermutlich von der chinesischen Hackergruppe Nitro-Gang für gezielte Angriffe genutzt wird. Auch der erste Exploit für die kritische Java-Lücke, die Oracle Ende vergangenen Monats mit einem Notfall-Patch beseitigt hat, wurde auf einem Server entdeckt, der auf die Nitro-Gang hindeutet.

Bei dem aktuellen Angriff wird über eine speziell präparierte Webseite zunächst ein Flash-Applet ausgeführt, das Shellcode über Heap-Spraying im Arbeitsspeicher verteilt. Anschließend lädt es ein iFrame nach, das schließlich die IE-Lücke ausnutzt, um den Shellcode zu starten. Laut einer Analyse der Sicherheitsfirma Alien Vault wird auf diese Weise derzeit das Remote-Adminstration-Tool (RAT) Poision Ivy verteilt, über das der Angreifer vollen Zugriff auf das infizierte System bekommt.

Wer den IE nutzt und auf Nummer sicher gehen will, sollte besser auf einen anderen Browser ausweichen, bis bekannt ist, ob die eigene Konstellation aus Browser und Betriebssystem betroffen ist. Mit Hilfe der veröffentlichten Details kann sich nun jedermann einen Exploit zusammenbauen und auch ein Metasploit-Modul ist bereits in Arbeit. Microsoft hat sich bislang nicht zu der Schwachstelle geäußert. (rei)