Exploit für neue IE-Lücke

Für die neue Sicherheitslücke im Internet Explorer 6 und 7 ist jetzt ein öffentlich verfügbarer Exploit aufgetaucht – als Modul für das Exploit-Framework Metasploit. Da nun vermutlich in Kürze weitere Webseiten die Lücke aktiv ausnutzen werden, dürfte Microsoft in Zugzwang geraten, schnell einen Patch herauszugeben. Bislang hatten die Redmonder nur wenige gezielte Angriffe beobachtet, bei der eine Lücke in der Komponente iepeers.dll zum Infizieren eines Systems ausgenutzt wurde. Daher wollte der Software-Hersteller die Lage weiter beobachten und empfahl Anwendern, auf den Internet Explorer 8 zu wechseln, der nicht verwundbar ist. Der Metasploit-Erfinder H.D. Moore hatte kürzlich auf der RSA-Konferenz Software-Herstellern vorgeworfen, erst dann schnell zu reagieren, wenn ein Exploit kursiert – man darf gespannt sein, ob sich diese Prognose abermals bestätigt.

Das Metasploit-Modul beruht auf der Analyse des Original-Exploits. Er nutzt eine fehlerhafte Pointer-Dereferenzierung, um eingeschleusten Code zu starten. Darauf gestoßen war der israelische Entwickler Moshe Ben Abu durch Hinweise auf die Domain www.topix21century.com im Blog von McAfee, aus der der ursprüngliche Exploit stammt.

Das Metasploit-Modul funktioniert für Microsoft Internet Explorer 7 unter Windows Vista SP2, Internet Explorer 7 unter Windows XP SP3 sowie Internet Explorer 6 unter Windows XP SP3, allerdings nur, wenn die Datenausführungsverhinderung (DEP) noch nicht aktiviert ist. Der Exploit arbeitet allerdings noch nicht ganz zuverlässig.

Siehe dazu auch:

• Angriffe über neu entdeckte Lücke in Internet Explorer 6 und 7
• Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken

(dab)