Gefährliche Lücke im Internet Explorer 7 bis 9

Der Sicherheitsexperte Eric Romang hat eine kritische Sicherheitslücke im Internet Explorer entdeckt. Ihm gelang es, über eine manipulierte Flash-Datei beliebigen Code auf Windows XP-Systeme einzuschleusen und auszuführen. Das Metasploit-Team hat inzwischen in Zusammenarbeit mit Romang einen Beispielcode (Exploit) entwickelt, über den sich die Schwachstelle reproduzieren lässt. Weitere Analysen haben ergeben, dass der Internet Explorer 7, 8 und 9 unter Windows XP, Vista und Windows 7 anfällig für die Sicherheitslücke sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen eine //www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Internet Explorer Warnung 17092012.html;jsessionid=2F3032AE5FACE3D235F4A53F7367533D.2_cid294:Sicherheitswarnung herausgegeben und empfiehlt IE-Nutzern den Umstieg auf andere Browser.

Die Sicherheitslücke im Internet Explorer ist nicht nur eine theoretische Bedrohung. Romang entdeckte die Schwachstelle bei der Untersuchung von Schadsoftware, die er auf einem infizierten Server gefunden hat. Dieser befindet sich mutmaßlich unter Kontrolle einer chinesischen Hackergruppe mit dem Namen „Nitro-Gang“. Auch der Schadcode, der im August zur Beseitigung einer gefährlichen Sicherheitslücke in Java geführt hatte, lag auf Servern, die offenbar von der Nitro-Gang für Angriffe genutzt wurden.

Der jetzt entdeckte Schadcode für den Internet Explorer besteht aus vier Dateien. Dabei handelt es sich um eine ausführbare Datei mit dem Namen 111.exe, die zwei HTML-Dateien "exploit.html" und "protect.html" sowie um ein Flash-Video. Bei einem Test über virustotal.com meldet bisher kein Viren-Scanner diese Dateien als verdächtig. Der Angriff geht von exploit.html aus. Wird der Inhalt im Internet Explorer geöffnet, lädt dieser die Flash-Datei, über die dann ein Heap-Spray durchgeführt wird. Dabei wird Code an bestimmten Stellen im Speicher abgelegt und dann über einen iFrame in protect.html ausgeführt. Bei der fehlerhaften Verarbeitung dieses iFrames liegt die eigentliche Sicherheitslücke im Internet Explorer. Darüber wird dann nach einer Untersuchung von alienvault.com der Trojaner Poison Ivy nachgeladen, der eine Fernsteuerfunktion auf dem infizierten PC einrichtet.

Microsoft hat sich bisher noch nicht zu der Sicherheitslücke geäußert. Da die Angriffsmethode jetzt bekannt ist, werden in nächster Zeit wahrscheinlich mehrere neue Schädlinge auftauchen, die den Fehler im Internet Explorer ausnutzen. Nutzer des Microsoft Browsers sollten sich daher nach einer Alternative umsehen und beispielsweise auf Google Chrome oder Mozilla Firefox umsteigen.

Update 19. September 2012: Microsoft plant, die Sicherheitslücke im Internet Explorer behelfsmäßig über ein Fix-it-Tool schließen. Weitere Infos finde Sie im Artikel Microsoft will IE-Lücke mit Fix-it schließen.

Update 18. September 2012: Microsoft hat ein Security Advisory mit der Nummer 2757760 herausgegeben. Darin wird bestätigt, dass die Internet Explorer Versionen 6 bis 9 unter Windows XP, Vista und Windows 7 angreifbar sind. Der Internet Explorer 10 unter Windows 8 ist nicht betroffen.

Microsoft empfiehlt den Einsatz von EMET 3.0, bis die Lücke geschlossen wird. Außerdem sollte in den "Internetoptionen" auf der Registerkarte "Sicherheit" die Sicherheitsstufe für "Internet" und "Lokales Intranet" auf "Hoch" eingestellt sein. Der Internet Explorer führt dann keine ActiveX-Controls und Scripte mehr aus. Danach funktionieren dann allerdings die meisten Webseiten nicht mehr richtig, weil zumindest JavaScript häufig vorausgesetzt wird. Um dieses Problem zu umgehen, kann der Nutzer aber einzelne Internet-Angebote in die Liste bei "Vertrauenswürdige Sites" aufnehmen, für die weiterhin die Sicherheitsstufe "Mittel" eingestellt bleiben kann.