Cisco veröffentlicht Details zu Zero-Day-Lücke im Internet Explorer

Cisco hat Details zur vergangenen Woche bekannt gewordene Zero-Day-Lücke im Internet Explorer veröffentlicht. Die Informationen hat das Intrusion-Prevention-System Snort des Sicherheitsunternehmens gesammelt. Die Angriffe starteten demnach am 24. April per Phishing. Kriminelle hatten versucht, Nutzer auf eine Website mit Schadcode zu locken. Die Schwachstelle hat Microsoft bereits geschlossen.

Vier verwendete Betreffzeilen konnte Cisco identifizieren: “Welcome to Projectmates!”, “Refinance Report”, “What’s ahead for Senior Care M&A” und “UPDATED GALLERY for 2014 Calendar Submissions”. Alle vier führen auf manipulierte Websites: profile.sweeneyphotos.com, web.neonbilisim.com, web.usamultimeters.com und inform.bedircati.com.

Die Forscher erklärten, das schädliche JavaScript sei auf den Websites kaum verschleiert worden. Es beinhaltete eine Funktion mit dem Namen oil(), allerdings führte sie kein JavaScript-Code aus, sondern aktivierte stattdessen eine Flash-Datei (SWF) mit integriertem ActionScript. Laut Cisco bestand die Aufgabe des ActionScripts darin, “den Heap einzusprühen“, also große Speicherbereiche zu allokieren und mit bestimmten Werten zu füllen – überwiegend Leeranweisungen. Dabei wird aber auch der Shellcode im Speicher abgelegt. Nachdem die Schwachstelle ausgenutzt wurde, übernimmt er die Kontrolle.

Die SWF-Datei präpariert den Heap und übergibt anschließend einen speziellen String via oil() als Parameter an die Website. Die oil()-Funktion startet wiederum eval() mit dem übergebenen String, dies führt aufgrund der Zero-Day-Lücke zu einem Absturz, der dafür sorgt, dass der Shellcode ausgeführt wird.

Die Häufigkeit von Flash-Angriffen mit Heap Spray nimmt Cisco zufolge zu. Möglich sei es, dass die Kriminellen das Flash-Objekt verwenden, da sie Probleme hatten, aus IE heraus auf die Schwachstelle zuzugreifen.

Am 1. Mai hatte Microsoft ein außerplanmäßiges Sicherheitsupdate für Internet Explorer zum Download bereitgestellt. Es behob eine Zero-Day-Lücke in den Version 6 bis 11. Auch Windows-XP-Nutzer können den Fix einspielen. Damit ignoriert der Softwarekonzern das selbst festgelegte Support-Ende für das 2001 eingeführte Betriebssystem. Seit dem 8. April wird es offiziell nicht mehr unterstützt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de