Freitag, Dezember 12, 2008

Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt

Die am Dienstag im Internet Explorer 7 bekannt gewordene Zero-Day-Lücke wird vermutlich schon seit Oktober von Kriminellen ausgenutzt. Nach Angaben (PDF-Dokument) des Sicherheitsdienstleisters iDefense kursierten bereits zu dieser Zeit Informationen zu der Lücke im chinesischen Untergrund und wurden ab November für 15.000 US-Dollar zum Kauf angeboten. Später soll ein "Second-Hand-Exploit" für 650 US-Dollar über den Tisch gegangen sein. Schließlich habe der Exploit-Code Eingang in einen Trojaner gefunden, der in Rechner eindringt und Zugangsdaten zu chinesischen Online-Spielseiten stiehlt.

Derzeit sieht es auch so aus, als würden hauptsächlich gehackte chinesische Webseiten den Exploit enthalten. Auf einem vollständig gepatchten Windows-XP-SP3-Testsystem von heise Security startete der Zero-Day-Exploit ein Programm namens ko[1].exe, das sofort Kontakt mit einem chinesischen Server aufnahm und begann, Rootkit-Komponenten nachzuladen.

Allerdings kann sich die Eingrenzung auf China schnell auflösen, nachdem der Exploit-Code veröffentlicht wurde – offenbar aus Versehen. Schuld daran hat nach eigenen Angaben das chinesische Sicherheitsunternehmen Knownsec, das davon ausging, dass Microsoft die Lücke mit dem Update für den Internet Explorer am vergangenen Dienstag behoben hätte und die Informationen nun nicht mehr zurückgehalten werden müssten. Microsoft war über die Lücke aber nicht informiert, sodass das Update die Lücke nicht schloss.

Microsoft hat die Lücke im Internet Explorer 7 aber mittlerweile bestätigt; betroffen sind Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1 und Windows Server 2008. Wann es ein Update gibt, schreibt Microsoft nicht.

Der Protected Mode des Internet Explorer 7 unter Vista soll die Wirksamkeit des Angriffs laut Microsoft erheblich erschweren. McAfee erwähnt in seinem Blog-Eintrag über den Test des Exploits jedoch keine solche Einschränkung. Möglicherwiese kursieren unterschiedliche Exploits. Das Internet Storm Center will Exploits beobachtet haben, die nur unter Windows XP und Server 2003 funktionierten.

Der Protected Mode des Internet Explorer 7 unter Vista soll die Wirksamkeit des Angriffs laut Microsoft erheblich erschweren. McAfee erwähnt in seinem Blog-Eintrag über den Test des Exploits jedoch keine solche Einschränkung. Möglicherwiese kursieren unterschiedliche Exploits. Das Internet Storm Center will Exploits beobachtet haben, die nur unter Windows XP und Server 2003 funktionierten.

Die Erkennung des Exploits durch Virenscanner lässt derzeit noch zu wünschen übrig. Nur wenige Hersteller erkannten den Angriff. Für das Intrusion Detection System Snort sind indes Regeln erschienen, mit denen die Erkennung eines Angriffs funktionieren soll.

Siehe dazu auch:

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite