Neue Zero-Day-Lücke in Internet Explorer entdeckt

Auf einer manipulierten Website haben die Sicherheitsforscher von FireEye einen Exploit für eine Zero-Day-Lücke in Internet Explorer aufgespürt. Per Drive-by-Download lädt sich unbemerkt Schadsoftware herunter und wird ausgeführt, wenn die in den USA gehostete Website mit Microsofts Browser angezeigt wird. Zwei bisher unbekannte Schwachstellen nutzt der Exploit nach Unternehmensangaben aus.

Die erste Schwachstelle lässt das Auslesen des Zeitstempels der Windows-Bibliothek “msvcrt.dll” zu. Anschließend wird diese Information an den Server der Hacker gesendet, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. Ein Speicherfehler in der Datei ermöglicht eine Remotecodeausführung.

Auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ist der Speicherfehler FireEye zufolge ausgerichtet. Bisher funktioniere der Exploit nur mit englischsprachigen Versionen des Browsers. “Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden”, heißt es in einem Blog von FireEye. “Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.”

Weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke ausgenutzt wurde, nennt das Unternehmen in einem zweiten Blog. Es soll sich bei der manipulierten Website um eine “strategisch wichtige Site” handeln, die “Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind”.

FireEye zufolge sei ein forensischer Nachweis eines Angriffs erschwert, da der Schadcode nicht sofort auf die Festplatte geschrieben werde. Der Code werde stattdessen direkt in den Speicher eingeschleust. “Außergewöhnlich versiert” und nur schwer zu entdecken, sei diese Methode.

Bisher liegt eine Stellungnahme von Microsoft nicht vor. Über die Forschungsergebnisse hat FireEye nach eigenen Angaben das Security-Team des Softwarekonzerns informiert. Mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) könnten die Folgen eines Angriffs minimiert werden.

In der vergangenen Woche hatte Microsoft selbst auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen. Diese wird für zielgerichtete Angriffe auf Organisationen in Südasien verwendet. Noch ist nicht bekannt, wann diese Schwachstelle behoben wird. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de