Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt
Bis zum vergangenen Patchday kursierte der Exploit nur im Untergrund und wurde vermutlich seit Oktober aktiv ausgenutzt. Dann wurde er versehentlich veröffentlicht, weil ein Unternehmen dachte, Microsoft hätte die Lücke mit einem Update geschlossen.
- Daniel Bachfeld
Die am Dienstag im Internet Explorer 7 bekannt gewordene Zero-Day-Lücke wird vermutlich schon seit Oktober von Kriminellen ausgenutzt. Nach Angaben (PDF-Dokument) des Sicherheitsdienstleisters iDefense kursierten bereits zu dieser Zeit Informationen zu der Lücke im chinesischen Untergrund und wurden ab November für 15.000 US-Dollar zum Kauf angeboten. Später soll ein "Second-Hand-Exploit" für 650 US-Dollar über den Tisch gegangen sein. Schließlich habe der Exploit-Code Eingang in einen Trojaner gefunden, der in Rechner eindringt und Zugangsdaten zu chinesischen Online-Spielseiten stiehlt.
Derzeit sieht es auch so aus, als würden hauptsächlich gehackte chinesische Webseiten den Exploit enthalten. Auf einem vollständig gepatchten Windows-XP-SP3-Testsystem von heise Security startete der Zero-Day-Exploit ein Programm namens ko[1].exe, das sofort Kontakt mit einem chinesischen Server aufnahm und begann, Rootkit-Komponenten nachzuladen.
Allerdings kann sich die Eingrenzung auf China schnell auflösen, nachdem der Exploit-Code veröffentlicht wurde – offenbar aus Versehen. Schuld daran hat nach eigenen Angaben das chinesische Sicherheitsunternehmen Knownsec, das davon ausging, dass Microsoft die Lücke mit dem Update für den Internet Explorer am vergangenen Dienstag behoben hätte und die Informationen nun nicht mehr zurückgehalten werden müssten. Microsoft war über die Lücke aber nicht informiert, sodass das Update die Lücke nicht schloss.
Microsoft hat die Lücke im Internet Explorer 7 aber mittlerweile bestätigt; betroffen sind Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1 und Windows Server 2008. Wann es ein Update gibt, schreibt Microsoft nicht.
Der Protected Mode des Internet Explorer 7 unter Vista soll die Wirksamkeit des Angriffs laut Microsoft erheblich erschweren. McAfee erwähnt in seinem Blog-Eintrag über den Test des Exploits jedoch keine solche Einschränkung. Möglicherwiese kursieren unterschiedliche Exploits. Das Internet Storm Center will Exploits beobachtet haben, die nur unter Windows XP und Server 2003 funktionierten.
Auf Milw0rm ist ein harmloser Exploit erschienen, der zu Demonstrationszwecken den Windows-Taschenrechner öffnet. Ersten unabhängigen Analysen zufolge beruht die Lücke auf einem Fehler in der Bibliothek mshtml.dll bei der Verarbeitung von SPAN-Tags in präparierten XML-Dokumenten. Der echte Exploit teilt sich in drei Teile auf und nutzt Heap Spraying, um zunächst den Schadcode im Speicher zu verteilen und später anspringen zu können. Da der Exploit dafür JavaScript verwendet, hilft es als temporäre Maßnahme, JavaScript zu deaktivieren.
Die Erkennung des Exploits durch Virenscanner lässt derzeit noch zu wünschen übrig. Nur wenige Hersteller erkannten den Angriff. Für das Intrusion Detection System Snort sind indes Regeln erschienen, mit denen die Erkennung eines Angriffs funktionieren soll.
Siehe dazu auch:
- Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security
(dab)
