Angriffe über Zero-Day-Lücke im Internet Explorer

Im Internet Explorer klafft eine kritische Sicherheitslücke, die bereits für gezielte Cyber-Attacken missbraucht wird. Konkret haben es die Angreifer derzeit auf den Internet Explorer 10 abgesehen, Berichten zufolge ist zumindest auch der IE 9 anfällig. Entdeckt wurde der Angriff von der Sicherheitsfirma FireEye. Cyber-Kriminelle platzierten den Exploit-Code auf der Webseite der US-Kriegsveteranenorganisation Veterans of Foreign Wars (VFW), vermutlich um gezielt Opfer im militärischen Umfeld zu finden.

Es handelt sich um eine Use-after-free-Lücke, die es Angreifern erlaubt, ein Byte an einer beliebigen Stelle im Speicher zu manipulieren. In Kombination mit einer präparierten Adobe-Flash-Datei kann der Exploit so die Address Space Layout Randomization (ASLR) umgehen. Anschließend baut er sich aus bereits vorhandenen Code-Fragmenten via Return Oriented Programming (ROP) die notwendigen Befehle zusammen, um auch die Datenausführungsverhinderung (Data Execution Prevention, DEP) zu überlisten.

Die Angreifer waren offenbar sehr darauf bedacht, keinen Alarm zu schlagen: Die Exploit-Seite, die als iFrame in die gehackte Site eingebettet wurde, hat mit einem Trick überprüft, ob Microsofts Härtungstool EMET auf dem Rechner des Besuchers installiert ist: Die Seite versucht, die lokale Datei EMET.DLL mit dem ActiveX-Control Microsoft.XMLDOM zu laden. Dabei wirft das Control eine Fehlermeldung, die der Angriffsseite verrät, ob die DLL vorhanden ist – und der Rechner des potenziellen Opfers durch EMET geschützt wird. Ist dies der Fall, stoppt der Exploit.

Laut FireEye können sich IE-Nutzer schützen, indem sie Browser-Version 11 benutzen und/oder das kostenlose Schutz-Tool EMET installieren. (rei)