Zero-Day-Lücke im Internet Explorer für Angriffe ausgenutzt
Eine ungeflickte Sicherheitslücke in den Versionen 7 bis 10 des Internet Explorers wird momentan aktiv für die Verbreitung eines Trojaners ausgenutzt. Das Speicherzugriffsproblem gibt den Angreifern Systemrechte auf den infizierten Computern.
- Fabian A. Scherschel
Sicherheitsexperten haben eine Zero-Day-Lücke im Internet Explorer entdeckt, die momentan aktiv für gezielte Angriffe ausgenutzt wird. Die Lücke betrifft die Internet-Explorer-Versionen 7 bis 10 unter Windows XP und Windows 7. Zusammen mit einer Lücke in der TIFF-Darstellung von Windows, befinden sich damit momentan zwei Windows-Schwachstellen im Umlauf, die Microsoft bis jetzt nicht geschlossen hat.
Experten der Sicherheitsfirma FireEye hatten die IE-Lücke auf einer Webseite entdeckt, die sich mit internationaler Sicherheitspolitik befasst. Der auf der Seite platzierte Schadcode nutzte eine Lücke im Internet Explorer um herauszufinden, ob das System des Besuchers eine verwundbare Version der Visual C Laufzeitbibliothek MSVCRT.DLL enthält. Ist diese vorhanden, macht sich die Webseite ein Fehler im Speicherzugriffscode des Browsers zu Nutze, um einen Trojaner auf dem Rechner des Opfers zu platzieren. Dieser startet in der zweiten Phase des Angriffs seinen eigenen Prozess, der dem Angreifer volle Systemrechte auf dem infizierten Rechner gibt.
FireEye geht von einem zielgerichteten Angriff aus, da der Schadcode sich nicht auf die Festplatte des Opfers schreibt und damit Antivirenprogrammen und Sicherheitsforschern die Entdeckung des Trojaners erschwert. Die Angreifer nehmen dabei in Kauf, dass sie nach einem Neustart die Kontrolle über den infizierten Rechner verlieren, da der Schadcode sich nur im RAM befindet. Laut den Forschern ist es wahrscheinlich, dass sich die Opfer bei mehreren Besuchen der Webseite durchaus mehrmals mit dem Trojaner infiziert haben. Um welche Seite es sich genau handelt, wollte FireEye nicht preisgeben, nur dass sie irgendwo im Sicherheits-Bereich angesiedelt ist.
Zwar waren die beobachteten Angriffe sehr begrenzt und zielgerichtet, nach dem Bekanntwerden der Schwachstelle ist jetzt allerdings damit zu rechnen, dass sie bald auch für breiter gestreute Attacken eingesetzt wird.
[Update 12.11.2013 10:33]
Microsoft hat jetzt bekannt gegeben, die Zero-Day-Lücke als Teil der Updates des heutigen regulären Patch Days schließen zu wollen. Die Lücke sei identisch mit einem ActiveX-Problem, für das man bereits ein Update bereitgehalten habe, sagte Dustin Childs in einer Meldung des Microsoft Security Response Centers.
Als Workaround bis der Patch eingespielt ist, empfiehlt Childs die Sicherheitseinstellungen des Internet Explorers für das lokale Intranet zu erhöhen und den Browser so zu konfigurieren, dass er vor der Verwendung von Active Scripting nach der Bestätigung des Nutzers fragt. Ebenso könne Microsofts Enhanced Mitigation Experience Toolkit (EMET) eingesetzt werden, um Angreifern die Nutzung solcher Lücken zu verwehren. (fab)
