Kritische Zero-Day-Lücke im Internet Explorer
Bei der Analyse einer infizierten Webseite entdeckten Sicherheitsexprten eine kritische Schwachstelle im IE, die sich zum Einschleusen von Schadcode eignet.
- Ronald Eikenberg
Die Sicherheitsexperten von FireEye haben bei Analyse einer kompromittierten Webseite einen Exploit entdeckt, der eine bislang unbekannte Sicherheitslücke im Internet Explorer ausnutzt. Durch die Lücke kann ein Angreifer Schadcode ins System des IE-Nutzers einschleusen, wenn dieser eine speziell präparierte Webseite besucht. Anfällig sind alle IE-Versionen bis einschließlich Version 8. Höhere Versionen sind nach derzeitigem Kenntnisstand nicht betroffen.
Laut FireEye haben die Angreifer zunächsts mit Hilfe eines Flash-Applets Shellcode im Arbeitsspeicher verteilt (Heap Spraying). Über die Zero-Day-Lücke im IE gelang es schließlich, den Code auszuführen. Durch die Sicherheitslücke wurde eine DLL ins System eingeschleust, zu dessen Funktionen die Sicherheitsexperten bislang keine Angaben machten.
Laut Bericht handelt es sich bei dem Vorfall um eine sogenannte Watering Hole Attack: Das sind gezielte Cyber-Attacken, bei denen der Angreifer Webseiten kompromittiert, die seine Zielperson frequentiert und darüber Schadcode verteilt. Den Exploit fanden die Experten auf der Webseite des Council on Foreign Relations (Rat für auswärtige Beziehungen). Dabei handelt es sich um einen US-amerikanischen Think Tank, dem rund 4500 einflussreiche Persönlichkeiten aus Politik und Wirtschaft angehören. Die Angreifer haben mit einigen Zeilen JavaScript sichergestellt, dass der Exploit nur bei Besuchern ausgeführt wird, die als Systemsprache US-Englisch, Chinesisch, Japanisch, Koreanisch oder Russisch eingestellt haben.
Gegenüber dem Sicherheits-Blogger Brian Krebs hat Microsoft die Schwachstelle bereits bestätigt. Betroffen seien nur die IE-Versionen 6 bis 8. Derzeit ist Microsoft noch mit der Analyse beschäftigt, anschließend werde man aber alle nötigen Schritte unternehmen, um die betroffenen Anwender zu schützen.
Da der Exploit auf einer öffentlich zugänglichen Webseite zum Einsatz kam, muss man davon ausgehen, dass ihn schon bald weitere Cyber-Ganoven in ihr Waffenarsenal aufnehmen. Von der Nutzung der verwundbaren Versionen des Interner Explorer kann man daher derzeit nur abraten.
Update vom 30.12.2012: Inzwischen gibt es weitere Details über die Schwachstelle und ein Metasploit-Modul, mit dem man die Lücke ausnutzen kann. Microsoft hat Konfigurationstipps für die betroffenen IE-Versionen veröffentlicht. Es läuft darauf hinaus, dass das automatische Ausführen von JavaScript deaktiviert wird. Alternativ kann man das Abhärtungstool EMET einsetzen – oder, wenn möglich, auf eine neuere Version des Browsers umsteigen. (rei)
