Exploit für Zero-Day-Lücke im Internet Explorer verfügbar

Jetzt wird Microsoft wohl doch einen Notfall-Patch für den Internet Explorer in Erwägung ziehen müssen: Ein Exploit für die kürzlich gemeldete Lücke in der Verarbeitung von Cascading Style Sheets (CSS) steht in der Exploit-Datenbank exploit-db.com zum Download bereit.

Er öffnete in einem kurzen Test der heise Security Redakton unter Windows XP mit dem Internet Explorer 8 eine Hintertür (Reverse Shell) auf Port 4444. Allerdings war es zum Funktionieren des Exploits notwendig, im Internet Explorer 8 die standardmäßig aktivierte Datenausführungsverhinderung (DEP) abzuschalten. Zumindest von diesem Exploit sind Anwender des Internet Explorer 8 nicht bedroht. Beim Internet Explorer 6 und 7 ist DEP von Hause aus jedoch nicht aktiviert – dort funktioniert der Exploit sofort.

Angreifer könnten über die Hintertür Zugriff auf den Windows-PC erhalten oder Malware installieren. Bislang hatte die CSS-Lücke nach Meinung von Microsoft die Kriterien für einen Notfall-Patch nicht erfüllt – unter anderem, weil es bislang nur wenige gezielte Angriffe auf Anwender in Unternehmen gab und der verwendete Exploit nicht öffentlich war.

Bis ein Patch bereit steht, empfiehlt der Hersteller die Datenausführungsverhinderung (DEP) für den Internet Explorer unter Windows 7, Vista oder XP zu aktivieren. Der einfachste Weg DEP beim Internet Explorer 7 nachträglich zu aktivieren ist es, ein von Microsoft bereit gestelltes Fix-it-Tool herunterzuladen und zu starten. Daneben gibt es ein zweites Fix-it-Tool, das benutzerdefinierte CSS anschaltet und so Angriffe ins Leere laufen lässt. Dies dürfte das Mittel der Wahl für Anwender des Internet Explorer 6 sein – von denen wohl noch etliche im Einsatz sind.

Daneben lassen sich DEP und weitere Schutzmechanismen unter Windows über das Enhanced Mitigation Experience Toolkit (EMET) aktivieren. Der Artikel "Schadensbegrenzer " auf heise Security erklärt, wie das Tool funktioniert und wie man es bedient. (dab)