Update - Zero Day Exploit für Microsoft Internet Explorer

17. September 2012
Update am 18. September
2. Update am 20. September

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Seit kurzem gibt es, wie unter anderem im Blog von Rapid7 berichtet wird, eine remote ausnützbare Sicherheitslücke in Internet Explorer 7, 8 und 9. Da bereits ein Modul für das Metasploit Framework verfügbar ist, und die Sicherheitslücke auch schon aktiv ausgenützt wird, empfiehlt CERT.at, die folgende Sicherheitsmeldung zu beachten.

Eine solche Browserschwachstelle kann dazu benutzt werden, auf den PCs von Besuchern einer präparierten Webseite Malware zu installieren. Die Opfer können per Mail/Spam zu diesen Seiten gelockt werden; alternativ können die Angreifer versuchen, in legitime Seiten einzubrechen und diese zu manipulieren.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Die ersten Meldungen haben nur von Windows XP und IE 7/8 gesprochen, aktuell muss aber davon ausgegangen werden, dass alle Systeme, auf denen Microsoft Internet Explorer Version 7, 8 oder 9 installiert ist, betroffen sind.
Das Metasploit Modul funktioniert laut Screenshots für:
  • Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7

Abhilfe

Die Faktenlage ist bis dato noch relativ dünn. Es erreichen uns zum Teil widersprüchliche Meldungen. Eine Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.
Wir empfehlen daher, zumindest bis zu einer Klärung Sachverhalts, nach Möglichkeit auf alternative Browser auszuweichen.

Update (2012/09/18):
Microsoft hat ein Advisory publiziert. Ein Zeitpunkt für die Verfügbarkeit eines Patches wurde noch nicht angekündigt, es ist aber ein out-of-band Release zu erwarten.

Als temporäre Maßnahmen empfiehlt Microsoft drei Varianten:

  • Das Enhanced Mitigation Experience Toolkit (EMET) für den IE aktivieren
  • Die Sicherheitseinstellungen für "Internet" und "Lokales Intranet" auf "Hoch" setzen, um ActiveX Controls und Active Scripting abzuschalten.
  • Den IE so konfigurieren, dass er vor dem Ausführen von aktiven Inhalten eine Bestätigung erwartet.
Eine genaue Beschreibung mit den zu erwartenden negativen Seiteneffekten enthält das Advisory.

Update (2012/09/20):
Microsoft hat ein FixIT Tool bereitgestellt, mit dem dieses Problem temporär behoben werden kann.

Für Freitag, 21. September 2012 hat Microsoft die Publikation des offiziellen Updates für den Internet Explorer angekündigt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Eric Romang Blog (en)
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
Rapid7 Security Street (en)
https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit
Meldung von Heise (de)
http://www.heise.de/security/meldung/Angreifer-nutzen-ungepatchte-Internet-Explorer-Luecke-aus-1709371.html
Microsoft Security Advisory 2757760 (en)
https://technet.microsoft.com/en-us/security/advisory/2757760