Update - "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 6 bis 11

28. April 2014
Update 2. Mai 2014

Beschreibung

Der IT-Security-Dienstleister FireEye hat einen Blog-Eintrag veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft Internet Explorer 9-11 gewarnt wird:
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks

Aktuell ist nur bekannt, dass diese Schwachstelle in gezielten Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach dem Publik-werden nun diverse Akteure darauf konzentrieren werden.

Microsoft hat auch bereits ein Security Advisory dazu herausgegeben:
Vulnerability in Internet Explorer Could Allow Remote Code Execution

Auswirkungen

Solche Schwachstellen in Browsern werden typischerweise bei gezielten Angriffen über "Spearphishing" (eine speziell für das Opfer vorbereitete Email, die ein Anklicken eines Links auslösen soll) oder über "Waterholing" (eine vom Opfer regelmäßig besuchte Webseite wird gehackt und präpariert) ausgenutzt.
Ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook, Outlook Express und Windows Mail ist nicht möglich, ein Link auf entsprechend präparierte Webseiten muss vom Benutzer aktiv angeklickt werden.

Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Nach den aktuell vorliegenden Informationen werden die Versionen 9 bis 11 des Internet Explorers angegriffen, es sind aber die Versionen 6 bis 11 von diesem Problem betroffen.
  • Internet Explorer 6 auf
    • Windows Server 2003 Service Pack 2
    • Windows Server 2003 x64 Edition Service Pack 2
    • Windows Server 2003 SP2 für Itanium-basierte Systeme
  • Internet Explorer 7 auf
    • Windows Server 2003 Service Pack 2
    • Windows Server 2003 x64 Edition Service Pack 2
    • Windows Server 2003 SP2 für Itanium-basierte Systeme
    • Windows Vista Service Pack 2
    • Windows Vista x64 Edition Service Pack 2
    • Windows Server 2008 für 32-bit Systeme Service Pack 2
    • Windows Server 2008 für x64-basierte Systeme Service Pack 2
    • Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
  • Internet Explorer 8 auf
    • Windows Server 2003 Service Pack 2
    • Windows Server 2003 x64 Edition Service Pack 2
    • Windows Vista Service Pack 2
    • Windows Vista x64 Edition Service Pack 2
    • Windows Server 2008 für 32-bit Systeme Service Pack 2
    • Windows Server 2008 für x64-basierte Systeme Service Pack 2
    • Windows 7 für 32-bit Systeme Pack 1
    • Windows 7 für x64-basierte Systeme Service Pack 1
    • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
    • Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
  • Internet Explorer 9 auf
    • Windows Vista Service Pack 2
    • Windows Vista x64 Edition Service Pack 2
    • Windows Server 2008 für 32-bit Systeme Service Pack 2
    • Windows Server 2008 für x64-basierte Systeme Service Pack 2
    • Windows 7 für 32-bit Systeme Service Pack 1
    • Windows 7 für x64-basierte Systeme Service Pack 1
    • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
  • Internet Explorer 10 auf
    • Windows 7 für 32-bit Systeme Service Pack 1
    • Windows 7 für x64-basierte Systeme Service Pack 1
    • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
    • Windows 8 für 32-bit Systeme
    • Windows 8 für x64-basierte Systeme
    • Windows Server 2012
    • Windows RT
  • Internet Explorer 11 auf
    • Windows 7 für 32-bit Systeme Service Pack 1
    • Windows 7 für x64-basierte Systeme Service Pack 1
    • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
    • Windows 8.1 für 32-bit Systeme
    • Windows 8.1 für x64-basierte Systemxse
    • Windows Server 2012 R2
    • Windows RT 8.1

Achtung - Windows XP

Windows XP ist nicht angeführt, da es von Microsoft nicht mehr unterstützt wird, es ist aber davon auszugehen, dass es auch betroffen ist.
Wir empfehlen Nutzern, die immer noch Windows XP verwenden, einen Upgrade auf aktuellere Versionen von Microsoft Windows oder andere Betriebssysteme, und bis dahin zumindest den Einsatz alternativer Browser (Mozilla Firefox, Google Chrome, Opera etc.).

Windows Server

Die Default-Einstellungen ("Enhanced Security Configuration") für Internet Explorer auf Windows Server (Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 sowie Windows Server 2012 R2) verhindern ein Ausnutzen dieser Lücke.

Abhilfe

Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von Microsoft Internet Explorer.

Bis dahin kann mit folgenden Methoden ein Ausnutzen dieser Lücke verhindert oder zumindest erschwert werden:

  • EMET (Enhanced Mitigation Experience Toolkit) ab Version 4.1 aktivieren und für Internet Explorer konfigurieren, Details dazu finden sich im Advisory von Microsoft (Version 3 von EMET bietet keinen Schutz)
  • Setzen der Sicherheitseinstellungen für "Internet" und "lokales Intranet" auf "hoch", um Active Scripting (JavaScript) und ActiveX Controls in diesen Zonen zu deaktivieren. Dies kann Auswirkungen auf die Funktionalität von Webseiten haben.
  • Internet Explorer so zu konfigurieren, dass vor dem Ausführen von Active Scripting-Komponenten (JavaScript) auf Webseiten beim Benutzer nachgefragt wird.
  • VGX.dll
    de-registrieren, Details dazu finden sich im Advisory von Microsoft (hat Auswirkungen auf Seiten, die VML zum rendern benutzen)
  • Aktivieren des "Enhanced Protected Mode" für Internet Explorer 11 sowie "64-Bit Prozessen" für den "Enhanced Protected Mode"
Update 2. Mai 2014
Microsoft hat Patches für alle betroffenen Versionen des Internet Explorers veröffentlicht. Diese werden über Windows Update verteilt. Details dazu im Microsoft Security Bulletin MS14-021 bzw. im Blog des Microsoft Security Response Center.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blog-Post von FireEye vom 26. April 2014 (englisch)
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html
Security Advisory 2963983 von Microsoft (englisch)
https://technet.microsoft.com/en-US/library/security/2963983
Microsoft Security Research and Defense Blog zu diesem Problem (englisch)
http://blogs.technet.com/b/srd/archive/2014/04/26/more-details-about-security-advisory-2963983-ie-0day.aspx