Viren/Trojaner 0-Day Sicherheitslücke bei Internet Explorer 7-9 unter Windows XP, Vista und 7

QuHno

Außer Betrieb
Wie die Sicherheitsgruppe Rapid7 herausgefunden hat, existiert eine Sicherheitslücke in allen Internet Explorer Versionen kleiner 10 die es ermöglicht, Schadcode alleine durch den Besuch einer präparierten Webseite auf dem System zur Ausführung zu bringen. Dieser Exploit wurde schon in freier Wildbahn gesichtet und ist schon länger im Einsatz.

Der Exploit wurde zum Metasploit Framework hinzugefügt und steht somit zur Überprüfung des Systems auf Sicherheitslücken zur Verfügung. Leider steht er dadurch aber auch Script-Kiddies zur Verfügung, so dass mit einer verstärkten Verbreitung zu rechnen ist.

Rapid7 und andere Sicherheitsexperten empfehlen, derzeit Abstand vom Internet Explorer <10 zu nehmen und alternative Browser wie Opera, Chrome oder Firefox zu verwenden.

Ein Patch für diese Sicherheitslücke steht noch nicht zur Verfügung (Stand 18.09.2012) Microsoft hat jedoch im Security Advisory (2757760) die Möglichkeit beschrieben, eine mögliche Schadwirkung mit Hilfe von EMET (Download) einzugrenzen, dazu muss iexplore.exe zu EMET hinzugefügt werden:

Start > Programme > Enhanced Mitigation Experience Toolkit > EMET 3.0.
UAC Abfrage bestätigen, Configure Apps (Anwendungen konfigurieren) klicken, Add (Hinzufügen) auswählen und iexplore.exe auswählen, OK klicken und EMET verlassen.

Die Datei iexplore.exe befindet sich hier:
%PROGRAMFILES%\Internet Explorer\

32 Bit Versionen des Internet Explorers findet man auf 64 Bit Systemen noch zusätzlich unter:
%PROGRAMFILES(X86)%\Internet Explorer\
Auch diese Datei muss in EMET aufgenommen werden.

Des weiteren empfiehlt Microsoft in dem Sicherheitshinweis, die Sicherheitseinstellungen für die Internetzone auf Hoch zu stellen und Scripting (ActiveX und sonstiges) nur auf Seiten zuzulassen, die man in die Zone der vertrauenswürdigen Seiten eingetragen hat.

Informationen über die Funktionsweise des Exploits (en)
 
Zuletzt bearbeitet:

QuHno

Außer Betrieb
Nachtrag:
Dieser spezifische Exploit braucht nicht nur das aktive ActiveX Flash Plugin für das Heap Spraying (welches von EMET ziemlich gut eingegrenzt werden kann), sondern unter Win Vista/7 und IE8/9 auch noch Java installiert (nicht das Plugin, nur Java selbst). Unter XP und Vista und mit älteren IE Versionen funktioniert der auch ohne Java.

Dennoch ist das kein Grund für Windows Vista/7 & IE8/9 Nutzer, sich entspannt zurückzulehnen, denn der Exploit gegen die Explorer Lücke wird mit Sicherheit mutieren und andere Wege finden, sich im System festzukrallen. Ein installiertes Java ist nur einer der der zuverlässigsten Wege, da es irre hohe Rechte besitzt und, aus Sicht der Fiesnickel, so "schön einfach" zu knacken ist, wie die regelmäßig auftretenden schweren Sicherheitslücken im JRE beweisen.

Wenn ihr auf Java verzichten könnt, beseitigt ihr schon auf einen Schlag fast 50% aller großen Lücken. Ich persönlich habe auf allen Rechnern hier vor mehreren Jahren Java komplett deinstalliert und vermisse es bis heute nicht.

Flash ist das andere gigantische Einfallstor für Schädlinge, auf dass man aber leider nicht so leicht verzichten kann. Flash solltet ihr nur auf Seiten zulassen, denen ihr wirklich vertraut und die ansonsten gar nicht funktionieren und für die es keine Alternative gibt. Mir fallen da nur sehr wenige wie z.B. Youtube ein, aber auch da verbessert sich dank stärkerem Einsatz von HTML5 <video> die Situation, so dass man es selbst dort immer seltener braucht.

Ansonsten gilt wie immer:
Alles, was ihr nicht unbedingt braucht, deinstallieren. Alles, was ihr installiert habt, aktuell halten. Das gilt auch für Software, bei der man eigentlich nicht erwartet, dass sie ins Netz geht.



PS: Java ist nicht JavaScript
 
Zuletzt bearbeitet:
Fette Sicherheitslücken im IE!
Warum wundert mich das jetzt nicht? :ROFLMAO:
-
Das Browserdasein ist zwar hart, aber wer immer noch mit dem IE unterwegs ist, kann man nur Mitleidig belächeln. :)


Greetz.
 

QuHno

Außer Betrieb
Fette Sicherheitslücken im IE!
Warum wundert mich das jetzt nicht? :ROFLMAO:
Vielleicht weil Du nicht gelesen hast, dass die Sicherheitslücke in erster Linie durch eine Adobe Flash Datei möglich gemacht wurde und auf neueren Systemen zusätzlich ein installiertes Java benötigt? Und weil Du Dich auf einen veralteten Browser beziehst, der auf einem veralteten Betriebssystem läuft? Der aktuellste Internet Explorer heißt 10 und das neueste System trägt die Nummer 8. Beide sind nicht von der Lücke betroffen.

Nur weil der IE als Tansportmittel benutzt wird, weil die Adobe Flash Version für den IE den Speicher zusauen kann, heißt das noch lange nicht, dass der iE an und für sich schlecht ist - zumindest nicht der 9er oder 10er.

Ansonsten:

Mikrosoft ist eine verantwortungsvolle Firma, die Sicherheit durchaus sehr ernst nimmt, was man von diversen anderen Firmen so nicht gerade behaupten kann. Deswegen hat Microsoft auch ein FixIt herausgebracht, welches man umgehend installieren sollte:

Microsoft fixIt für den 0-Day-Exploit in den IE Versionen 7-9
 

Norbert

Moderator
Teammitglied
Wer gestern oder heute schon die automatischen/manuellen Windows-Updates durchgeführt hat, kann sich wieder unbesorgt zurück lehnen, da war dieser Patch mit drin.
 

little tyrolean

Elder Statesman

Anhänge

  • IE-9-Sicherheitsupdate.jpg
    IE-9-Sicherheitsupdate.jpg
    34,6 KB · Aufrufe: 258

Supernature

Und jetzt?
Teammitglied
Problem ist halt - wie oben angesprochen - dass man den IE sehr oft auch nutzt, ohne es zu wissen - wenn irgendein Drittprogramm auf dessen Komponenten zugreift.
 

little tyrolean

Elder Statesman
Dem sollte man eigentich in der Firewall einen Riegel vorschieben können, indem man (so wie ich) den IE auf "Fragen" setzt,
aber wer weiß, welche Geheimgänge Microsoft da eingerichtet hat.

Bis jetzt ist mir noch keine Drittanwendung untergekommen, die sich derartig bemerkbar gemacht hat,
alle meine proggies werden explizit abgefragt und müssen bewilligt werden.

p.s.
Ich verwende AVG Internet Security 2012.
 

QuHno

Außer Betrieb
AVG hat den Spitzbuben aber auch für mindestens 4 Tage nicht erkannt, nachdem er schon als "in the wild" gemeldet war. Die AV Hersteller haben sich durch die Bank bei dem Teil nicht mit Ruhm bekleckert, siehe dazu auch meinen kleinen "Auskotzer" auf Dr. Windows (der erste Link zeigt das Virustotal Ergebnis der ausgepackten Hauptinfektionsdatei. Nicht ausgepackt hatte ihn zu dem Zeitpunkt *keine* AV Soft gefunden).

Ansonsten: IE fragen zu lassen, ob der IE ins Netz darf ist ja gut und schön - aber das erwischt nicht die Updater von Programmen, oder?

... die können aber auch missbraucht werden, denn auch diese verwenden zu 90% die IE Engine für die Kontaktaufnahme ...
 
Oben