Schwachstelle in Microsoft Internet Explorer - Remote Code Execution

22. Dezember 2010
Update am 5. Jänner 2011

Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Bereits Anfang Dezember wurde ein Fehler in der CSS-Verarbeitung im Internet Explorer gemeldet, damals waren aber die Details noch unter Verschluss. Am 20. 12. wurde ein Demo-exploit in das Metasploit Framework aufgenommen, es ist daher nun damit zu rechnen, dass dieser Fehler aktiv ausgenützt wird.

~~Von Seiten Microsofts liegt noch keine Stellungnahme vor.~~

Update (5. Jänner 2011):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.

Auswirkungen

Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend präparierten Webseite ausgenützt werden.

Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird, und Links auf entsprechend präparierte Webseiten etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:

Internet Explorer 6
Internet Explorer 7
Internet Explorer 8

auf den Plattformen Windows XP, Vista, 7, Server 2003 und Server 2008.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann momentan nur versucht werden, die Auswirkungen zu begrenzen, oder einen alternativen Browser (zB Mozilla Firefox, Opera, Google Chrome) zu verwenden.

Folgende Security-Features erschweren das Ausnützen des Fehlers. es ist jedoch zu beachten, dass auch diese noch keinen vollständigen Schutz vor dieser Lücke bieten:

Data Execution Prevention (DEP), per Default in Internet Explorer 8 auf Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 und Windows 7 aktiv
Protected Mode in Internet Explorer auf Windows Vista und Windows 7, siehe http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do, per Default für die "Internet Zone" aktiv.

Das deutsche Buerger-CERT empfiehlt daher die Internet Explorer Sicherheitseinstellungen so hoch zu setzen, dass ActiveX Controls und Active Scripting nicht für alle Webseiten aktiv sind.

Update (5. Jänner 2011):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben. Darin wird ebenso empfohlen, bis zum Erscheinen eines entsprechenden Updates, als Workaround eine höhere Sicherheitseinstellung (lt. Advisory dezidiert "Hoch") im Internet Explorer zu wählen.
Microsoft empfiehlt darin weiters, den Internet Explorer durch Einsatz ihres Tools EMET akut zu "härten".

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

US-CERT Meldung
http://www.kb.cert.org/vuls/id/634956
Full Disclosure Post
http://seclists.org/fulldisclosure/2010/Dec/110
ThreatPost Meldung
http://threatpost.com/en_us/blogs/new-remotely -exploitable-bug-found-internet-explorer-121010
BreakingPoint Artikel
http://www.breakingpointsystems.com/community/ blog/ie-vulnerability/
Metasploit
Metasploit Proof-of-Concept Code
ComputerWorld
http://www.computerworld.com/s/article/9202001/ Researchers_reveal_attack_code_for_new_IE_zero_day
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2488013.mspx
Update: Informationen zu Microsoft's Security-Tool EMET
http://support.microsoft.com/kb/2458544