Zero-Day-Lücke in Internet Explorer entdeckt

Die Schwachstelle entdeckte der Sicherheitsexperte Eric Romang laut eigenen Angaben bei der Analyse der vor wenigen Wochen aufgetauchten Zero-Day-Lücke in Java SE 7. Auf einem Server, der angeblich von der Hackergruppe Nitro benutzt wird, befand sich demnach ein Ordner mit vier Dateien: einer ausführbaren Datei, einem Flash-Video und zwei HTML-Dateien namens “exploit.html” und “protect.html”.

Besucht ein Nutzer die Seite exploit.html mit IE7 oder IE8, wird der Flash-Film geladen, der wiederum die zweite HTML-Datei protect.html nachlädt. Alle drei zusammen führen dazu, dass die ausführbare Datei auf dem Rechner des Nutzers landet. Sie wird allerdings erst beim nächsten Start des Systems aktiv. Die Funktion des Exploits demonstriert der Forscher in einem Video.

Romang stellte zudem fest, dass weder die HTML-Dateien noch das Flash-Video oder die ausführbare Komponente von Antivirenprogrammen erkannt werden. Die Prüfung der Muster bei VirusTotal erbrachte lediglich im Fall der entpackten Flash-Datei bei 3 von 34 Scanning-Engines Treffer.

Inzwischen hätten die Hacker die Dateien von ihrem Server entfernt, schreibt Romang in seinem Blog. Auch der zuvor vorhandene Exploit für die von Oracle Ende August geschlossene Java-Lücke sei verschwunden.

Andere Sicherheitsexperten haben Romangs Erkenntnisse bestätigt. Heute im Lauf des Tages soll eine neue Version des Malware-Werkzeugkastens Metasploit erscheinen, die ein Exploit-Modul für die Zero-Day-Lücke enthält. “Juan Vazquez und ich arbeiten daran, und es sieht bisher gut aus”, schreibt einer der Metasploit-Entwickler auf Twitter.

[mit Material von Stefan Beiersmann, ZDNet.de]