Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt

Die am Dienstag im Internet Explorer 7 bekannt gewordene Zero-Day-Lücke wird vermutlich schon seit Oktober von Kriminellen ausgenutzt. Nach Angaben (PDF-Dokument) des Sicherheitsdienstleisters iDefense kursierten bereits zu dieser Zeit Informationen zu der Lücke im chinesischen Untergrund und wurden ab November für 15.000 US-Dollar zum Kauf angeboten. Später soll ein “Second-Hand-Exploit” für 650 US-Dollar über den Tisch gegangen sein. Schließlich habe der Exploit-Code Eingang in einen Trojaner gefunden, der in Rechner eindringt und Zugangsdaten zu chinesischen Online-Spielseiten stiehlt.

Derzeit sieht es auch so aus, als würden hauptsächlich gehackte chinesische Webseiten den Exploit enthalten. Auf einem vollständig gepatchten Windows-XP-SP3-Testsystem von heise Security startete der Zero-Day-Exploit ein Programm namens ko[1].exe, das sofort Kontakt mit einem chinesischen Server aufnahm und begann, Rootkit-Komponenten nachzuladen.

Allerdings kann sich die Eingrenzung auf China schnell auflösen, nachdem der Exploit-Code veröffentlicht wurde – offenbar aus Versehen. Schuld daran hat nach eigenen Angaben das chinesische Sicherheitsunternehmen Knownsec, das davon ausging, dass Microsoft die Lücke mit dem Update für den Internet Explorer am vergangenen Dienstag behoben hätte und die Informationen nun nicht mehr zurückgehalten werden müssten. Microsoft war über die Lücke aber nicht informiert, sodass das Update die Lücke nicht schloss.

Microsoft hat die Lücke im Internet Explorer 7 aber mittlerweile bestätigt; betroffen sind Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1 und Windows Server 2008. Wann es ein Update gibt, schreibt Microsoft nicht.

Der Protected Mode des Internet Explorer 7 unter Vista soll die Wirksamkeit des Angriffs laut Microsoft erheblich erschweren. McAfee erwähnt in seinem Blog-Eintrag über den Test des Exploits jedoch keine solche Einschränkung. Möglicherwiese kursieren unterschiedliche Exploits. Das Internet Storm Center will Exploits beobachtet haben, die nur unter Windows XP und Server 2003 funktionierten.

Auf Milw0rm ist ein harmloser Exploit erschienen, der zu Demonstrationszwecken den Windows-Taschenrechner öffnet. Ersten unabhängigen Analysen zufolge beruht die Lücke auf einem Fehler in der Bibliothek mshtml.dll bei der Verarbeitung von SPAN-Tags in präparierten XML-Dokumenten. Der echte Exploit teilt sich in drei Teile auf und nutzt Heap Spraying, um zunächst den Schadcode im Speicher zu verteilen und später anspringen zu können. Da der Exploit dafür JavaScript verwendet, hilft es als temporäre Maßnahme, JavaScript zu deaktivieren.

Die Erkennung des Exploits durch Virenscanner lässt derzeit noch zu wünschen übrig. Nur wenige Hersteller erkannten den Angriff. Für das Intrusion Detection System Snort sind indes Regeln erschienen, mit denen die Erkennung eines Angriffs funktionieren soll.

Update

Extra-Patch für Internet Explorer

Microsoft kündigt für morgen, Mittwoch den 17.12. einen Patch für das kritische Sicherheitsloch im Internet Explorer an. Der Ankündigung lässt sich zwar keine Uhrzeit für die Veröffentlichung entnehmen, doch nachdem es in Redmond 9 Stunden früher ist als hier, dürfte kaum vor dem Abend damit zu rechnen sein.

Es ist nicht das erste Mal, dass Micrsosoft einen Patch außerhalb der durch den monatlichen Patchday vorgegebenen Reihe veröffentlicht. Bereits im Oktober musste Microsoft kurzfristig eine kritische Lücke im RPC-Dienst ausbessern, die aktiv von Würmern ausgenutzt wurde.

Auch bei dem Sicherheitsloch im Internet Explorer handelt es sich um ein kritisches Problem, das aktiv ausgenutzt wird. Die Lücke wurde vor genau einer Woche, parallel zum Dezember-Patchday bekannt. Bis dahin beschränkten sich die Attacken damit hauptsächlich auf den chinesischen Raum. Mittlerweile werden offenbar immer mehr Webserver gezielt durch SQL Injection kompromittiert, um über den Exploit die Rechner ihrer Besucher zu infizieren. Somit sah sich Microsoft wohl gezwungen, schnellst möglich zu handeln.

Ob auch für die beiden anderen akuten Sicherheitsprobleme noch dieses Jahr Patches erscheinen, lässt sich der Ankündigung ebenfalls nicht entnehmen. Eine Lücke in Wordpad wird nach Microsofts eigenen Angaben ebenfalls bereits ausgenutzt und Microsofts SQL-Server weist offenbar ebenfalls ein noch ungepatchtes Problem auf.

3 Gedanken zu „Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt

  1. j0hnnyj0hnny

    Ach Win 98SE, das war noch ein Betriebssystem…

    Das ist immer erst abgestürzt bevor ein Virus überhaupt wirksam werden konnte. 😀

    Antworten
  2. theedee

    Stimmt, das konnte so geil multithreaden. Wenn man grad dabei war auf der Startleiste was anzuklicken und der Rechner wollte gleichzeitig was anderes machen hat 98 sich gedacht das was nicht stimmt, schliesslich kann der Benutzer nur eine Maus benutzen, und es beser sicherheitshalber einen Neustart macht.
    Was anderes machen (der Rechner) kann zum Beispiel sein:
    1) Auf die Festplatte zugreifen
    2) Die Uhr eine Sekunde vorstellen
    3) Eine Email an Microsoft schreiben
    4) Pornos aus dem Internet laden

    Antworten
  3. trippley

    theedee defenitiv das erste davon

    denn…

    1) Die Zeit wird von dem Server auf die Festplatte geschrieben
    2) Die Email liegt schon drauf, natürlich mit allen Passwörtern die du jemals eingeben hast und natürlich wo
    3) Nen Spiel lief! 😀 (Da gabs noch gute Spiele)
    4) Die Pornos werden gerade abgespielt ^^

    Antworten

Kommentar verfassen