Microsoft sucht Exploits für Internet Explorer

"Wer sich in Gefahr begibt, kommt darin um", heißt es im Volksmund. Microsofts Sicherheitsforscher hingegen wollen auf genau diesem Weg die Sicherheit im Internet erhöhen. Sie suchen gezielt nach Webseiten, die über Lücken im Internet Explorer ein Windows-System befallen, um sich so einen besseren Überblick über derzeit kursierende Exploits und Bedrohungen für Windows-Systeme im Internet zu verschaffen. Unter Umständen lassen sich so sogar Zero-Day-Exploits ausfindig machen, also Angriffe auf Lücken, die noch gar nicht öffentlich bekannt sind und für die noch gar kein Patch verfügbar ist.

Eigens dafür hat man das Projekt HoneyMonkey ins Leben gerufen. Anders als etwa bei Honeypots wartet der Betreiber nicht darauf, bis ein Angreifer einen Einbruchsversuch startet. Stattdessen surfen mehrere Windows-XP-Clients automatisiert durchs Netz und warten beim Aufruf einer Seite auf einen Angriff. Um die Wahrscheinlichkeit zu erhöhen, füttert man die Rechner mit URLs, die bereits in der Vergangenheit unangenehm aufgefallen sind oder etwa in manipulierten Hosts-Dateien gefunden wurden.

Um die Bedrohungen besser unterscheiden und einschätzen zu können, arbeiten die Redmonder mit Windows-XP-Systemen auf verschiedenen Patch-Ständen: Wurde ein XP mit SP1 ohne Patches infiziert, besucht anschließend ein XP mit SP2 ohne Patches, ein XP mit SP2, das teilweise gepatcht ist, und ein XP SP2 mit allen Sicherheitsupdates die Seite. Die Auswertung, ob ein System infiziert wurde, erfolgt ebenfalls automatisch. Dazu registriert ein Programm namens Strider Flight Data Recorder unter anderem alle Änderungen in der Registry und an Systemdateien. Zusätzlich kontrollieren Microsofts hauseigene Tools Strider Ghostbuster und Strider Gatekeeper das System auf eine Infektion mit Rootkits oder Spyware. Nach jedem Besuch wird das in einer virtuellen Umgebung laufende Strider Honeymonkey Exploit Detection System neu und schädlingsfrei gestartet.

In den ersten Monaten zählte Microsoft insgesamt 752 Webseiten, die in der Lage waren, einen PC ohne Nutzerinteraktion zu infizieren. Die Webseiten beziehungsweise URLs ließen sich auf nur 287 Server zurückführen. 688 der Exploits funktionierten nur auf ungepatchten XP-SP1-Systemen, immerhin 204 auf nicht aktualisierten XP-SP2-Clients. Nur 17 konnten teilweise gepatchte XP-SP2-PCs befallen. Ein Windows XP mit SP2 und allen Updates wurde im Testzeitraum Mai/Juni 2005 kein einziges Mal befallen.

Stolz weist Microsoft in seiner zwölfseitigen Auswertung des Experiments auch darauf hin, kurz nach Ende der ersten Auswertung einen Zero-Day-Exploit auf einer Webseite entdeckt zu haben, durch den auch vollständig gepatchte XP-SP2-Systeme gefährdet waren. Ein Bug beim Aufruf des COM-Objekts javaprx.dll ermöglichte die vollständige Kontrolle über den Rechner. Ob dieser Erfolg der frühzeitigen Entdeckung wirklich Honeymonkey zuzurechnen ist, ist fraglich. Immerhin hatten die Sicherheitsspezialisten von SEC Consult den Softwarekonzern bereits Mitte Juni über den Fehler informiert. Dort glaubte man aber zunächst nicht an die Ausnutzbarkeit der Lücke, bis SEC Consult sein Advisory veröffentlichte und wenig später die erste Webseite Anwendern Schadcode über das Loch unterjubelte. Kurz darauf gab Microsoft einen Patch zum Schließen der Lücke heraus. Innerhalb von zwei Wochen übernahmen 40 weitere Webseiten den Exploit.

Der diese Woche veröffentlichte Patch für den Internet Explorer deaktiviert 40 weitere COM-Objekte, die sich auf ähnliche Weise ausnutzen lassen. Für mindestens eins ist bereits ein Exploit veröffentlicht worden. Es dürfte nicht lange dauern, bis Microsofts HoneyMonkey die ersten Webseiten entdeckt, die diese Schwachstelle ausnutzen, um IE-Nutzern, die den Patch noch nicht eingespielt haben, Trojaner oder Spyware unterzujubeln.

Siehe dazu auch: (dab)

• Finding Web Sites That Exploit Browser Vulnerabilities Report von Microsoft
• Strider HoneyMonkey Exploit Detection Report von Microsoft