Update - "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 7 bis 10

11. November 2013
Update 12. November 2013

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Der IT-Security - Dienstleister FireEye hat zwei Blog-Einträge veröffentlicht, in denen ein "Zero-Day"-Angriff auf aktuelle Versionen von Microsoft Internet Explorer beschrieben wird:

Weiters scheint dieser Angriff nicht persistent zu sein, das heisst nach einem Reboot finden sich keine Spuren davon auf der Festplatte eines betroffenen PCs - was forensische Arbeit natürlich entsprechend erschwert.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Der Blog-Post von FireEye beschreibt, dass die gefundene Memory Access Vulnerability für Internet Explorer 7 und 8 auf Windows XP, und Windows 7 designed ist.
Prinzipiell dürften also Internet Explorer 7, 8, 9 und 10 diesen Bug beinhalten.

CERT.at empfiehlt, im Moment alle unterstützten Versionen von Microsoft Internet Explorer als anfällig zu betrachten und entsprechend zu verfahren.
Sobald uns dazu gesicherte Informationen vorliegen, werden wir diese Warnung entsprechend updaten.

Abhilfe

Momentan sehen wir folgende Möglichkeiten, dieses Problem zu mitigieren:

Laut dem Blog-Post von FireEye empfiehlt Microsoft, wo möglich den Einsatz des Enhanced Mitigation Experience Toolkit (EMET) Tools (Details zum Einsatz von EMET siehe http://support.microsoft.com/kb/2458544)
Da laut FireEye nur Internet Explorer 7-10 betroffen sind, könnte auch ein Upgrade auf die letzte Woche veröffentlichte Version 11 Abhilfe schaffen. Details zu Internet Explorer 11 siehe http://blogs.msdn.com/b/ie/archive/2013/11/07/ie11-for-windows-7-globally-available-for-consumers-and-businesses.aspx
Wo möglich, bis zur Klärung der Situation/Vorliegen einer entsprechend gepatchten Version, einen anderen Web-Browser (etwa Mozilla Firefox, Google Chrome, Opera) zu benutzen.

Update (2013-11-12):
Laut http://blogs.technet.com/b/msrc/archive/2013/11/11/activex-control-issue-being-addressed-in-update-tuesday.aspx wird dieses Problem mit den heute anstehenden monatlichen Updates ("Patch Tuesday") behoben.

Bis dieses Update eingespielt ist, empfiehlt Microsoft folgende Massnahmen, um das Ausnützen dieser Lücke zu verhindern:

Die Sicherheitseinstellungen im Internet Explorer auf "Hoch" zu setzen, (dies kann aber zu Usability-Problemen führen, da es ActiveX und Active Scripting (JavaScript) deaktiviert).
Internet Explorer so zu konfigurieren, dass vor dem Ausführen von Active Scripting-Komponenten (JavaScript) auf Webseiten beim Benutzer nachgefragt wird.
Das EMET-Tool zu aktivieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Post von FireEye vom 8. November 2013 (englisch)
http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
Blog-Post von FireEye vom 10. November 2013 (englisch)
http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses-diskless-method.html