Inoffizieller Patch für Zero-Day-Lücke in Internet Explorer veröffentlicht

Der Micropatching-Dienst 0patch hat einen inoffiziellen Fix für eine Zero-Day-Lücke in Internet Explorer 11 veröffentlicht. Laut Mitja Kolsek, CEO von Acros Security und Gründer von 0patch, wurde die Schwachstelle von Microsoft beim Februar-Patchday nicht berücksichtigt. Auch soll Microsoft die Anfälligkeit bisher nicht offiziell bestätigt haben, wie Bleeping Computer berichtet.

Der inoffizielle Patch liegt für Windows 7, Server 2008 R2, Windows Server 2016 und 2019 sowie Windows 10 in den Versionen 1809, 1909, 2004 und 20H2 vor. Verbrauchern und Bildungseinrichtungen steht er zudem kostenfrei zur Verfügung.

Die Zero-Day-Lücke wurde bereits aktiv von Hackern eingesetzt, und zwar bei Angriffen mutmaßlich nordkoreanischer Hacker auf Sicherheitsforscher. Anfang Februar meldete der südkoreanische Cybersicherheitsanbieter ENKI eine Attacke auf seine Mitarbeiter mithilfe von MHTML-Dateien. Sie soll zu einer größeren Kampagne gehören, die Google und Microsoft bereits im Januar aufdeckten und der Lazarus-Gruppe zuordneten.

Per Social Engineering sollten Sicherheitsforscher dazu verleitet werden, Websites zu besuchen, die Exploit Kits, schädliche Visual-Studio-Projekte oder MHTML-Dateien enthielten – jeweils mit dem Ziel, eine Hintertür zu installieren. Welche Ziele die Angreifer verfolgten, ist nicht bekannt, weil zum Zeitpunkt der Analyse die Hintermänner bereits die zugehörigen Befehlsserver abgeschaltet hatten.

MHTML-Dateien speichern Websites mit allen Ressourcen speichern. Windows öffnet sie nicht mit dem eingestellten Standardbrowser, sondern ab Werk abweichend davon mit Internet Explorer 11. Enki zufolge wurden die eigenen Systeme bei dem Angriff nicht mit Malware infiziert, was es den Forschern erlaubt habe, die Zero-Day-Lücke in Internet Explorer 11 aufzuspüren.

“Unser Ansatz zum Patchen bestand darin, eine seltene Browser-Funktionalität zu durchbrechen, die es erlaubt, dass ein HTML-Attribut-Wert (normalerweise eine Zeichenkette) ein Objekt ist, was unserer Einschätzung nach für ‘sehr’ wenige Web-Entwickler nützlich ist, deren Anwendungen mit dem Internet Explorer funktionieren sollen”, erklärte 0patch.

Windows-Nutzern stehen derzeit ab Werk noch bis zu drei Microsoft-Browser zur Verfügung: Internet Explorer, Legacy Edge und Chromium Edge. Bei Nutzern von Windows 10 reduziert sich die Auswahl jedoch in Kürze auf Chromium Edge und Internet Explorer. Die ursprüngliche Version des Edge-Browsers, die auf Microsofts eigener Browser-Engine basiert, will das Unternehmen mit dem April-Patchday aus Windows 10 entfernen.