Angreifer nutzen ungepatchte Internet-Explorer-Lücke aus

[Christoph]

Zitat:

Cyber-Ganoven nutzen eine bislang offenbar unbekannte und ungepatchte Schwachstelle im Internet Explorer aus, um Rechner mit Malware zu infizieren, wie Eric Romang in seinem Blog berichtet. Die Lücke hängt anscheinend damit zusammen, wie der IE <img>-Elemente in HTML-Dateien verarbeitet. Bislang haben es die Angreifer ausschließlich auf die IE-Versionen 7 und 8 unter Windows XP abgesehen. Ob der Exploit auch in Verbindungen mit anderen Software-Konstellationen zündet, ist noch unklar.

Romang hat den Angriffscode auf einem Server entdeckt, der vermutlich von der chinesischen Hackergruppe Nitro-Gang für gezielte Angriffe genutzt wird. Auch der erste Exploit für die kritische Java-Lücke, die Oracle Ende vergangenen Monats mit einem Notfall-Patch beseitigt hat, wurde auf einem Server entdeckt, der auf die Nitro-Gang hindeutet.

Bei dem aktuellen Angriff wird über eine speziell präparierte Webseite zunächst ein Flash-Applet ausgeführt, das Shellcode über Heap-Spraying im Arbeitsspeicher verteilt. Anschließend lädt es ein iFrame nach, das schließlich die IE-Lücke ausnutzt, um den Shellcode zu starten. Laut einer Analyse der Sicherheitsfirma Alien Vault wird auf diese Weise derzeit das Remote-Adminstration-Tool (RAT) Poision Ivy verteilt, über das der Angreifer vollen Zugriff auf das infizierte System bekommt.

Wer den IE nutzt und auf Nummer sicher gehen will, sollte besser auf einen anderen Browser ausweichen, bis bekannt ist, ob die eigene Konstellation aus Browser und Betriebssystem betroffen ist. Mit Hilfe der veröffentlichten Details kann sich nun jedermann einen Exploit zusammenbauen und auch ein Metasploit-Modul ist bereits in Arbeit. Microsoft hat sich bislang nicht zu der Schwachstelle geäußert. (rei)

Quelle: http://www.heise.de/newsticker/meldu...s-1709371.html
und
http://futurezone.at/digitallife/113...t-explorer.php
http://www.golem.de/news/zero-day-sc...209-94618.html

[Christoph]

Zitat:

Microsoft und BSI warnen vor IE-Nutzung Update

Das Ausmaß der am Montag berichteten 0-Day-Lücke im Internet Explorer ist größer als zunächst angenommen: Sie betrifft den Internet Explorer 6 bis 9 unter allen Windows-Versionen, wie Microsoft in der Nacht von Montag auf Dienstag in einem Security Advisory bekanntgegeben hat. Die mit Windows 8 vorinstallierte IE-Version 10 ist nicht anfällig. Laut dem Unternehmen handelt es sich um eine Use-after-free-Lücke, also einen Fehler, der beim Zugriff auf ein bereits gelöschtes oder nicht korrekt initialisiertes Speicherobjekt auftritt.

Einen Patch für die Lücke hat der IE-Hersteller indes nicht so schnell parat. Stattdessen listet er in dem Advisory eine Reihe von Workarounds auf, von denen die Installation der Exploit-Bremse EMET noch am praxistauglichsten ist. EMET aktiviert eine Reihen von Schutzfunktionen für einzelne Prozesse, was das Ausnutzen von Sicherheitslücken erschwert.

Alternativ lassen sich ActiveX und Active Scripting komplett ausschalten, indem die Sicherheit der Internet- und Intranet-Zone auf "Hoch" gesetzt werden. Das dürfte allerdings bei einer nennenswerten Anzahl von Webseiten zu Funktionseinschränkungen führen. Darüber hinaus beschreibt Microsoft, wie der IE so konfiguriert werden kann, dass er vor dem Ausführen von Skripten um Erlaubnis fragt – das ist ebenso praxisuntauglich.

Das Bundesamt für Sicherheit für Informationstechnik (BSI) warnt ebenfalls vor der IE-Lücke, empfiehlt als Workaround aber eine Option, die Microsoft nicht erwähnt hat: die Nutzung eines alternativen Browsers.

Ob die Lücke erst am nächsten planmäßigen Patchday im Oktober oder außer der Reihe gepatcht wird, ist noch offen. Wer den IE in einer verwundbaren Version nutzt, sollte sich umgehend für eine der Optionen entscheiden. Es ist nämlich bereits ein Modul für das Angriffsframework Metasploit im Umlauf, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann.

Update vom 18.09., 10:00: Auch der IE 6 ist betroffen. Die Angabe im Artikel wurde entsprechend korrigiert. (rei)

Quelle: http://www.heise.de/newsticker/meldu...g-1709711.html

[Christoph]

Zitat:

Microsoft nennt Workaround für 0-Day-Exploit

Gegen einen bislang nicht reparierten Fehler im Internet Explorer empfiehlt Microsoft die Installation des Enhanced Mitigation Experience Toolkits. Dies soll Angriffe erschweren. Das BSI hatte nach Bekanntwerden der Sicherheitslücke die Nutzung alternativer Browser empfohlen.

Microsoft rät zur Installation seines Enhanced Mitigation Experience Toolkits (EMET), um die Risiken eines Angriffs über die jüngste Sicherheitslücke im Internet Explorer zu minimieren. Vollkommen sicher können Anwender allerdings auch damit nicht surfen. Das gibt selbst Microsoft auf der Webseite zur Anwendung zu. Einen Patch für das seit gestern bekannte Sicherheitsproblem gibt es noch nicht.

Laut Security Advisory 2757760 von Microsoft sind sämtliche Versionen des Internet Explorers einschließlich Version 9 betroffen. Im Internet Explorer 10 tritt der Fehler nicht auf. Der Remote-Execution-Exploit erlaubt es Angreifern, Schadcode über einen Speicherfehler auf einem betroffenen Rechner auszuführen. Solcher Code kann beispielsweise über einen Drive-By-Angriff auf dem Rechner landen.
Gefahr durch HTML-Mails

Standardmäßig öffnen Microsoft Outlook, Outlook Express und Windows Mail E-Mails in eingeschränkten Zonen. Allerdings könnten dort geöffnete HTML-E-Mails auch für solche Angriffe genutzt werden, heißt es im Advisory. Bei einer erfolgreichen Übernahme erhalte der Angreifer die gleichen Rechte wie der angemeldete Nutzer. Microsoft rät daher, die Benutzerrechte einzuschränken.

Auf Windows Server 2003, 2008 und 2008 R2 läuft der Internet Explorer bereits in einem eingeschränkten Modus. Dort soll der Exploit nicht funktionieren.

Der Exploit werde untersucht und ein Patch entsprechend bereitgestellt. Wann dieser erscheinen wird, hat Microsoft allerdings noch nicht bekannt gegeben. http://www.golem.de/news/internet-ex...209-94639.html

Quelle:

[Christoph]

Zitat:

Microsoft will kritische IE-Lücke behelfsmäßig schließen

Microsoft will im Laufe der nächsten Tage ein Fix-it-Tool anbieten, das die kritische Internet-Explorer-Lücke behelfsmäßig abdichten soll, bis ein passender Patch bereitsteht. Dies gab das Unternehmen in seinem Sicherheitsblog bekannt.

Das Tool soll "jeder Internet-Explorer-Nutzer" installieren können und sich nicht weiter auf das Surfen auswirken – beide wichtige Punkte, die die derzeit von Microsoft empfohlenen Workarounds nicht erfüllen. Denn das Abdichten mit dem Admin-Tool EMET, das nur in englischer Sprache angeboten wird, bekommt längst nicht jeder hin. Und das Deaktivieren von Active Scripting führt dazu, dass viele Webseiten nicht mehr vernünftig funktionieren.

Microsoft gibt in seinem Blog an, dass bislang nur "ein paar" Versuche beobachtet wurden, die Schwachstelle auszunutzen und davon nur eine "extrem begrenzte Anzahl von Personen" betroffen seien. Die Tatsache, dass längst ein Modul für das Angriffsframework Metasploit verfügbar ist, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann, erwähnt das Unternehmen indes nicht.

Auch den einfachsten Weg, sich sofort vor Angriffen durch die IE-Lücke zu schützen, verschweigt Microsoft seinen Kunden weiterhin – nämlich den Einsatz eines alternativen Webbrowsers wie Firefox oder Google Chrome. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, den IE zu meiden, bis Microsoft das Problem in den Griff bekommen hat.

Wer sich für die Details der Schwachstelle interessiert, findet eine detaillierte Analyse bei dem Sicherheitsblog Vulnhunt. Es handelt sich demnach um eine sogenannte Use-after-free-Lücke in der Funktion CMshtmlEd::Exec(). Sie führt im Endeffekt dazu, dass der IE beim Aufruf spezieller präparierter Webseiten Schadcode ausführt. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-1710927.html

[Undertaker]

typisch IE... http://i1178.photobucket.com/albums/...forDummies.jpg

[Christoph]

Zitat:

Microsoft flickt kritische Internet-Explorer-Lücke

Microsoft hat ein Fix-it-Tool herausgegeben, mit dem die kritische Schwachstelle im Internet Explorer bis zum Erscheinen eines Patches provisorisch abgedichtet werden kann. Den endgültigen Patch will das Unternehmen ab dem morgigen Freitag über Windows Update verteilen, wie es in seinem Sicherheitsblog angekündigt hat.

Wer auf den Internet Explorer angewiesen ist, sollte nicht bis morgen warten und umgehend das Fix-it-Tool installieren. Andernfalls kann man sich freilich auch aus der Schusslinie bringen, indem man einen anderen Browser nutzt. Die Lücke betrifft die IE-Versionen 6 bis 9 unter sämtlichen Windows-Versionen.

Durch die Schwachstelle kann das System beim Besuch einer speziell präparierten Webseite mit Schadcode infiziert werden. Der Angriffscode kann quasi überall lauern – Cyber-Kriminellen gelingt es immer wieder, in namhafte Webseite einzusteigen und diese als Virenschleuder zu missbrauchen. Die Lücke wird bereits aktiv für Angriffe ausgenutzt und die hierzu nötigen Tools sind frei im Internet erhältlich.

Die Schwachstelle befindet sich in der Funktion CMshtmlEd::Exec(). Ein Angreifer kann provozieren, dass der Internet Explorer auf einen bereits freigegebenen Speicherbereich zugreift (Use-after-free). Das führt dazu, dass der IE Shellcode ausführt, den der Angreifer zuvor im Speicher platziert hat. (rei)

Quelle: http://www.heise.de/newsticker/meldu...e-1711931.html

[Christoph]

Zitat:

Windows Update für Internet Explorer ab 19 Uhr zum Download

Am heutigen Freitag gegen 19 Uhr steht für den Internet Explorer (6 bis 9) der umfangreiche Sicherheits-Download via Windows Update zur Verfügung. Bis dahin sollten IE-Nutzer das Fixit-Tool verwenden, um vor dem Zero-Day-Exploit sicher zu sein.

Nutzer des Internet Explorers (6-9) bekommen ab 19 Uhr via Download über Windows Update das von Microsoft versprochene Sicherheitspaket, das das Zero-Day-Exploit beseitigt. Dazu müssen Sie zu gegebener Zeit am heutigen 21. September 2012 im Internet Explorer „windowsupdate.microsoft.com“ in die Adresszeile eintippen. Dies funktioniert ausschließlich mit dem Microsoft-Browser. Anschließend prüft das System den Rechner auf ein vorhandenes und für das Update erforderliches ActiveX-Steuerelement. Ist dies erst einmal installiert, können Sie den Anweisungen folgen und das Update herunterladen und installieren.

Wie wir bereits berichteten, empfiehlt Microsoft für die Zeit bis zum Startschuss des Windows-Update-Downloads das Fixit-Tool. Dabei handelt es sich um ein kleines Programm, das die Sicherheitsstufe für den Browser erhöht und den Zero-Day-Exploit unschädlich macht. Das heißt, dass Angriffe über jene – am Wochenende entdeckte – Sicherheitslücke nicht mehr möglich sind. Nachdem dann das Windows Update bezogen wurde, können Sie das Fixit-Tool entweder deinstallieren oder einfach auf dem Rechner lassen. Laut Microsoft kann das Tool auf Dauer keine Schäden anrichten.

Auf der Webseite von Microsoft zum Fixit-Tool scrollen Sie ein wenig nach unten. Wenn Sie den Button Fixit entdecken, dann klicken Sie ihn an. Anschließend wird das Tool heruntergeladen und installiert. Das Tool behebt eine Sicherheitslücke im Internet Explorer. Sie können dem Update-Vorgang entgehen, indem Sie einfach auf alternative Browser wie Firefox, Chrome oder Safari ausweichen. Bemühen Sie nach einem Klick auf den just verlinkten Text einfach unser Download-Portal , das Sie schnell und sicher zum gewünschten Browser – oder jede andere gewünschte Software – führt.

Quelle: http://www.pc-magazin.de/news/intern...ium=newsletter