Zweite Lücke im IE wird nun ebenfalls aktiv ausgenutzt

Kaum hat Microsoft die VML-Lücke im Internet Explorer mit einem außerplanmäßigen Patch geschlossen, erwächst die zweite noch offene Lücke nun ebenfalls zu einem größeren Problem. Diese wurde bereits vor zwei Wochen im Multimedia Control daxctle.ocx für DirectAnimation entdeckt. Abgesehen von einem Proof-of-Concept-Exploit, der nur auf chinesischen Windows-2000-Rechnern mit gewissen Einschränkungen funktionierte, waren aber keine weiteren öffentlichen Exploits bekannt, die diese Lücke ausnutzten, um den PCs der Besucher präparierter Webseiten Schädlinge unterzujubeln. Nur der Sicherheitsdienstleister Secunia will in seinen Laboren einen Exploit entwickelt haben, der ein vollständig gepatchtes Windows XP SP2 infizieren kann.

Nach Angaben des Herstellers Sunbelt hat sich dies offenbar geändert. Wie bei der VML-Lücke tauchen nun Webseiten im Netz auf, die in der Lage sind, Schadcode in Windows-XP-SP2-Rechner zu schleusen und zu starten. Eine Nutzerinteraktion, abgesehen vom Aufruf der Seite, ist nicht erforderlich. Es kursieren bereits mehrere Grußkarten im Netz, die versuchen, Anwender auf verseuchte Webseiten zu locken oder dorthin umzuleiten. Eine der von Sunbelt identifizierten Seiten leitet Anwender von einer Porno-Seite in Netzbereiche, in denen vormals auch der VML-Exploit zuerst entdeckt wurde.

Der neue Exploit lädt eine gefälschte Version der Datei svchost.exe auf den Rechner. Zudem nimmt eine Backdoor (%system%\hehesox.dll) Befehle von außen entgegen. Bis zum Erscheinen eines Patches können Anwender sich behelfen, indem sie ActiveX komplett deaktivieren oder das betroffene Control einzeln abschalten. Dazu muss ein so genanntes Kill-Bit gesetzt werden. Einzelheiten dazu beschreibt Microsoft in einem Fehlerbericht zu der Lücke.

Siehe dazu auch: (dab)

• Another zero day on the loose? keyframe (daxctle.ocx) exploit seen in the wild, Blogeintrag von Sunbelt