Update - "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 9 und 10
Update 20. Februar 2014
Beschreibung
Der IT-Security-Dienstleister FireEye hat zwei Blog-Einträge veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft Internet Explorer 10 gewarnt wird:- New IE Zero-Day Found in Watering Hole Attack
- Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website
Aktuell scheint diese Schwachstelle nur in gezielten Angriffen verwendet zu werden. Nachdem sie jetzt breiter bekannt geworden ist, wird sie wahrscheinlich bald in alle klassischen Exploit-Packs integriert werden.
Microsoft arbeitet gemeinsam mit FireEye an der Analyse, ein offizielles Advisory von Microsoft ist noch nicht verfügbar.
Auswirkungen
Solche Schwachstellen in Browsern werden typischerweise bei gezielten Angriffen über "Spearphishing" (eine speziell für das Opfer vorbereitete Email, die ein Anklicken eines Links auslösen soll) oder über "Waterholing" (eine vom Opfer regelmäßig besuchte Webseite wird gehackt und präpariert) ausgenutzt.Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Nach den aktuell vorliegenden Informationen sind die Versionen 9 und 10 des Internet Explorers betroffen.IE 11 hat diese Schwachstelle nicht, bzw. kann sie dort nicht ausgenutzt werden.
Zu den anderen Versionen des Internet Explorers liegen noch keine Informationen vor.
Abhilfe
- Privatanwendern wird eine Aktualisierung auf die aktuellste Version des Internet Explorers empfohlen
- in Firmen sollte vor einem Upgrade auf IE 11 die Funktionalität aller nötigen Intra- bzw. Internetapplikationen getestet werden
- ein (temporäres) Ausweichen auf alternative Browser kann auch hilfreich sein
Für Windows XP ist der Internet Explorer 11 nicht verfügbar. Da Microsoft ab 8. April 2014 keine Sicherheitsupdates für Windows XP mehr bereitstellen wird, wird Nutzern von XP dringend empfohlen, auf ein Betriebssystem mit aktivem Support umzusteigen.
Ob Microsofts Enhanced Mitigation Experience Toolkit diesen Angriff abfängt ist noch nicht bekannt.
In einem mittlerweile erschienenen Security Advisory bestätigt Microsoft, dass nur Internet Explorer 9 und 10 betroffen sind, und empfiehlt bis zum Erscheinen eines Updates folgende Workarounds:
- Anwenden der Microsoft Fix it solution "MSHTML Shim Workaround"
- Einsatz des Enhanced Mitigation Experience Toolkit (EMET)
- Die Sicherheitseinstellungen für die Zonen "Internet" und "Lokales Intranet" im Internet Explorer auf "Hoch" zu setzen, (dies kann aber zu Usability-Problemen führen, da es ActiveX und Active Scripting (JavaScript) deaktiviert).
- Internet Explorer so zu konfigurieren, dass vor dem Ausführen von Active Scripting-Komponenten (JavaScript) auf Webseiten beim Benutzer nachgefragt wird.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Blog-Post von FireEye vom 13. Februar 2014 (englisch)
http://www.fireeye.com/blog/technical/cyber-exploits/2014/02/new-ie-zero-day-found-in-watering-hole-attack-2.html
2. Blog-Post von FireEye vom 13. Februar 2014 (englisch)
http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html
Artikel auf Ars Technica (englisch)
http://arstechnica.com/security/2014/02/new-zero-day-bug-in-ie-10-exploited-in-active-malware-attack-ms-warns/
Microsoft Security Advisory 2934088 (englisch)
http://technet.microsoft.com/en-us/security/advisory/2934088