Patch für IE-Lücke soll noch heute erscheinen

Am heutigen Donnerstag Abend soll das Sicherheits-Update laut Ankündigung von Microsoft für den Internet Explorer erscheinen. Derweil gibt es erste   Berichte, dass öffentlich zugängliche Webserver die Lücke nun aktiv ausnutzen, um Besucher mit Schädlingen zu infizieren. Bislang gab es nur Berichte über gezielte Angriffe auf Anwender in Unternehmen wie Google, Adobe und andere. Der bislang öffentlich verfügbare Exploit funktioniert aber nur in der Kombination Internet Explorer 6 und Windows XP.

Micrososoft unterstreicht zudem im Blog des "Security Research & Defense"-Teams, dass der Wechsel auf den Internet Explorer 8 derzeit ausreichend Schutz bieten würde. Die gemeldeten Exploits für den Internet Explorer 8, die in der Lage seien, die Datenausführungsverhinderung zu umgehen, würden nur einem eingeschränkten Kreis von Sicherheitsdienstleistern und CERTs zur Verfügung stehen. Ohnehin führe der Exploit in zwei von drei Fällen nur zum Absturz des Browsers, was die Redmonder der Speicherverwürfelung (Address Space Layout Randomization, ASLR) zugute schreiben.

Unterdessen deuten Analysen des bei den Aurora-Angriffen auf Google und Co. benutzen Schadcodes laut SecureWorks darauf hin, dass die Entwicklungen dafür schon seit Längerem im Gange sind. Bestimmte Compiler-Zeitstempel des untersuchten Codes sollen auf das Jahr 2006 datieren. Nach Meinung von Joe Stewart haben sich die Entwickler auch besondere Mühe gegeben, die Herkunft der Binaries und auf welchem System sie erstellt wurden, zu verschleiern. So ließen die jedem Programm verangestellten PE-Header keine Rückschlüsse zu, dass chinesische Entwickler an der Arbeit beteiligt waren. Normalerweise enthält der PE-Header den Länder- respektive Language-Code. Entweder hätten die Autoren den Code auf einem System mit englischsprachigen Einstellungen übersetzt oder die Header später manuell geändert.

Einzig ein von der Backdoor (Hydraq) benutzter CRC-Code soll auf eine chinesische Herkunft verweisen, da eine Google-Suche dazu ausschließlich auf chinesische Seiten führe. Bei derlei Sorgfalt der Angreifer stellt sich allerdings die Frage, warum es dann nicht gelang, die Kommunikation der Backdoor mit den Kontrollservern besser zu verschleiern. Die ist zwar per SSL verschlüsselt, die Spuren sollen dennoch nach China zurückzuverfolgen gewesen sein.

Parallel zur Ankündigung des Patches für den IE hat Microsoft die gestern gemeldete Privilege-Escalation-Lücke in Windows bestätigt. Man untersuche die Lücke weiter und entscheide dann, ob, wie und in welchen Zeitrahmen man sie schließe. Als Workaround empiehlt Microsoft, die Unterstützung für 16-Bit-Anwendungen über die Gruppenrichtlinien zu deaktivieren. Der Tipp funktioniert allerdings nur bei Firmenkunden, da die Windows-Versionen der meisten Heimanwender keinen Editor für Gruppenrichtlininen mitbringen. Alternativ kann man auch in der Registry den Schlüssel \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat erzeugen und dort als D-Word-Wert VDMDisallowed = 1 anlegen. Unter XP lief der Exploit in Tests von heise Security anschließend nicht mehr. Automatisch funktioniert das Anlegen des Schlüssels, wenn man sich die Datei vdmdisallow.reg mit folgendem Inhalt anlegt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"VDMDisallowed"=dword:00000001

und die Datei anschließend doppelklickt (Adminrechte vorausgesetzt)

Siehe dazu auch:

• Windows-Lücke nach 17 Jahren gefunden
• Lücke im Internet Explorer: Rettung naht

• Lücke im Internet Explorer: Gute und schlechte Nachrichten
  
• Gezielte Angriffe auf Unternehmen gehen weiter
  
• Exploit für IE-Sicherheitslücke jetzt öffentlich
• BSI warnt vor Nutzung des Internet Explorer
• "Rote Hacker": Cyber-Attacken aus China
• Sicherheits-Update für Adobe Reader und Acrobat verfügbar
  
• US-Bericht: China verstärkt Spionageangriffe auf Unternehmen
  
• Chinesische Spionage-Software infiltriert Rechner tibetischer Exil-Regierung
• Antivirenhersteller rät vom Einsatz des Adobe Reader ab

(dab)