Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

12. Dezember 2008

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

UPDATE (17.12.2008): Out of Band Patch von Microsoft

Microsoft hat am Mittwoch, 17.12.2008 einen Patch veröffentlicht. Man beachte den Microsoft technet blog für Updates. CERT.at empfiehlt, den Patch per Autoupdate einzuspielen.

Beschreibung

In Versionen des Internet Explorers bis einschliesslich Beta 8 existiert eine Sicherheitslücke beim Parsen von XML Texten, die dazu führen kann, daß beliebiger Code beim Besuch von präparierten Webseiten mit den Rechten des angemeldeten Benutzers ausgeführt wird (CVE-2008-4844) und die Kontrolle über den Rechner erlangt werden kann. Microsoft hat hierzu eine Warnung herausgegeben.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund und Dimension

Eine Schwachstelle im Verarbeiten von XML Texten erlaubt es einem Angreifer, Code in den Rechner einzuschleusen. Sobald ein Benutzer auf eine manipulierte Webseite geht, wird ohne Vorwarnung der Schadcode durch die bekannt gewordene Lücke im Internet Explorer auf dem Rechner des Opfers ausgeführt. Meist wird dabei als erster Schritt andere Schadsoftware nachgeladen.

CERT.at weist darauf hin, dass bei ähnlichen Schwachstellen in der Vergangenheit die Angreifer auf verschiedenen Wege versucht haben, Nutzer auf ihre Seiten zu locken. Weiters wurde verstärkt versucht, über Schwachstellen in populären seriösen Webseiten (etwa per SQL-Injection oder Cross-Site Scripting) entsprechende Code-Fragmente einzubauen.

Obwohl die Sicherheitslücke gestern schon bekannt war, hat sich CERT.at entschlossen, gestern noch keine Warnung herauszugeben da nach allen bekannten Analysen nur chinesische Webseiten betroffen waren. Es wurde hierbei nur ein Gamekeylogger installiert. Durch das Auftauchen des Codes auf milw0rm.com sieht CERT.at allerdings die Gefährdung akut gesteigert. Wir erwarten in Zukunft somit Attacken auch ausserhalb Chinas.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Alle üblicherweise verwendete Versionen des Internet Explorers

Abhilfe

Es wird empfohlen, die Sicherheitsstufe im Internet Explorer auf "Hoch" zu setzen und die Schritte in der Microsoft Warnung zu befolgen. Da dies allerdings die Bedienbarkeit bestehender Webseiten, die Javascript verwenden, massiv beeinträchtigen kann, empfiehlt CERT.at bis zur Bereitstellung eines Patches seitens Microsoft, alternative Browser zu verwenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Microsoft Warnung
http://www.microsoft.com/technet/security/advisory/961051.mspx
ISC Internet Storm Center SQL Injection code
http://isc.sans.org/diary.html?storyid=5464
ISC Internet Storm Center SQL IE6 und IE8 betroffen
http://isc.sans.org/diary.html?storyid=5470