FireEye meldet Zero-Day-Lücke in Internet Explorer

Sicherheitsforscher von FireEye haben auf einer manipulierten Website einen Exploit für eine Zero-Day-Lücke in Internet Explorer entdeckt. Die in den USA gehostete Website kann, wenn sie mit dem Microsoft-Browser angezeigt werden, per Drive-by-Download eine Schadsoftware einschleusen und ausführen. Nach Angaben des Unternehmens werden dabei zwei bisher unbekannte Schwachstellen ausgenutzt.

Die erste Anfälligkeit erlaubt es, den Zeitstempel der Windows-Bibliothek „msvcrt.dll“ auszulesen. Diese Information wird anschließend an den Server der Hacker übermittelt, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. In dieser Datei wiederum steckt ein Speicherfehler, der eine Remotecodeausführung ermöglicht.

Der Speicherfehler ist FireEye zufolge auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ausgerichtet. Zudem funktioniere der Exploit bisher nur mit englischsprachigen Versionen des Browsers. „Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden“, heißt es in einem Blogeintrag von FireEye. „Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.“

In einem zweiten Blogeintrag nennt das Unternehmen weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke zum Einsatz gekommen ist. Bei der manipulierten Website soll es sich um eine „strategisch wichtige Site“ handeln, die „Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind“.

Der Schadcode werde zudem nicht sofort auf die Festplatte geschrieben, was einen forensischen Nachweis eines Angriffs erschwere, so FireEye weiter. Stattdessen werde der Code direkt in den Speicher eingeschleust. Diese Methode sei „außergewöhnlich versiert“ und nur schwer zu entdecken.

Eine Stellungnahme von Microsoft liegt bisher nicht vor. FireEye hat nach eigenen Angaben das Security-Team des Softwarekonzerns über seine Forschungsergebnisse informiert. Die Folgen eines Angriffs könnten mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) minimiert werden.

Microsoft selbst hatte in der vergangenen Woche auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen, die für zielgerichtete Angriffe auf Organisationen in Südasien verwendet wird. Wann diese Anfälligkeit beseitigt wird, ist nicht bekannt. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de