Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Deutschsprachiger Blog für die Sicherheits-Gemeinschaft.Diskutiert werden alle Informations-Sicherheits relevanten Themen.

Sicherheitsempfehlung: Drive-by-Angriffe auf Internet Explorer

Sicherheitsempfehlung: Drive-by-Angriffe auf Internet Explorer

  • Comments 6
  • Likes

In einer neuen Sicherheitsempfehlung beschreiben die US-Kollegen eine bisher unbekannte Sicherheitslücke im Internet Explorer. Drive-by-Angriffe auf die Lücke wurden zwar schon im Internet beobachtet, allerdings in sehr geringer Zahl. Wie die Kollegen vom MSRC (Microsoft Security Response Center) in ihrem Blog schreiben, wurde der betreffende Angriffscode nur auf einer einzigen Website entdeckt. Die Site ist inzwischen nicht mehr aktiv. Wird die Lücke erfolgreich missbraucht, kann der Angreifer beliebigen Code einschleusen (Remote Code Execution).

 

Soviel vorweg: Die aktuelle Beta-Version des Internet Explorer 9 ist von der Lücke nicht betroffen. De facto ist auch der Internet Explorer 8 von der Heap-Spray-Attacke betroffen. Ein Angriff hätte bei dieser Browserversion aber keinen Erfolg, da das ab Werk aktivierte DEP (Data Execution Prevention) den Angriffsvektor auskontert. Somit bleiben der inzwischen neun Jahre alte Internet Explorer 6 und sein Nachfolger IE7 als mögliche Ziele der Attacken. Damit wird einmal mehr klar, wie dringend Unternehmen und Privatanwender zum Internet Explorer 8 wechseln sollten.

 

Details zu DEP erläutern die Kollegen vom SRD (Security Research and Defense)-Team in ihrem Blog. Außerdem wird dort erklärt, wie das EMET (Enhanced Mitigation Experience Toolkit) herangezogen werden kann, um das Risiko zu verringern.

 

In der Sicherheitsempfehlung wird auch ein Workaround beschrieben, wie sich die Gefahr durch die Lücke minimieren lässt. Die US-Kollegen arbeiten derzeit an einem Fix it, um den Prozess der Absicherung zu vereinfachen. Mit einem Nofall-Update außer der Reihe (Out of Band) ist nicht zu rechnen, wie mein Kollege Jerry Bryant der US-Publikation Computerworld bestätigte.

 

Details zur Attacke haben die Kollegen von Symantec in ihrem Blog veröffentlich. Sie schreiben dort unter anderem, dass der Link auf die erwähnte, inzwischen nicht mehr erreichbare Website per Spam-E-Mail versandt wurde.

 

Comments
  • Dann versuchen wir es doch noch einmal an dieser Stelle:

    Dämlicherweise ist das im MSKB-Artikel support.microsoft.com/.../en-us verlinkte "Fix it 50556" (MicrosoftFixit50556.msi) aka "CSS-Fix it" derzeit fehlerhaft.

    Unter welcher Windows-Version und mit welcher IE-Version auch immer die MSI ausgeführt wird, meldet der Installer "Dieses Microsoft-Fix it ist nicht für Ihr Betriebssystem oder Ihre Version der Anwendung vorgesehen". Die Installation wird damit abgebrochen und folglich auch das im Fix it enthaltene CSS im IE nicht als "Benutzerdefinierter StyleSheet" aktiviert.

    Ursache dafür ist ein Fehler in der "LaunchCondition" der MSI-Datei, die zusätzlich ein FIXIT_RUN <> ""[FIXIT_DOESNT_APPLY_TXT] enthält. Entfernt man diese (zweite) Zeile in der LaunchCondition der MSI-Datei, läuft die Installation sauber durch (am Ende startet der Internet Explorer einmal automatisch).

    MS wurde am 07.11.2010, gegen 12 Uhr CET von mir über diesen (peinlichen) Fehler informiert (E-Mail sowohl an das MSRC, als auch per CC an William Keener, der AFAIK mitverantwortlich für Fix it ist), hat aber bislang noch nicht reagiert. Auch Daniel schweigt sich aus, dem ich die E-Mail am 08.11.2010 gg. 07 Uhr CET weitergeleitet habe.

    Siehe auch patch-info.de/.../985 unter welcher ich auch auf die (von mir selbst) fehlerbereinigte Version der MSI-Datei verlinke (patch-info.de/.../MicrosoftFixit50556.msi).

    Bye,

    Freudi

  • Wie der Zufall so spielt, wurde das Fix it 50556, das über support.microsoft.com/.../en-us angeboten wurde, in der vergangenen Nacht ohne jedwede Rückmeldung und auch ohne von außen ersichtliche Information korrigiert. Es verlinkt nunmehr auf eine funktionsfähige MSI-Datei, die exakt jener entspricht, welche ich seit dem 07.11. über meine kleine Site zum Download zur Verfügung stellte.

    Dass bei dieser Gelegenheit aber nicht die Funktionsfähigkeit weiterer Fix it überprüft wurde, zeigt sich daran, dass der Fix it 50557 (zum Deaktivieren eines benutzerdefinierten Stylesheets) nach wie vor den selben Fehler aufweist - unverschämterweise hatte ich dies auch nicht in meinen E-Mails vom 07.11. an MS erwähnt.

    So sieht also Qualitätsmanagement und Außenkommikation über wirklich wichtige Dinge im Hause Microsoft aus.

    Bye,

    Freudi

  • Offenbar zu früh gefreut:

    Es scheint, dass der(die Download-Server je nach Lust und Laune oder Uhrzeit unterschiedliche Versionen besagter MSI-Datei (Fix it 50556) ausliefert. Während hier gestern Morgen eine fehlerbereinigte Version der MSI-Datei vom Server gezogen wurde, kommt heute Morgen (und wohl auch schon seit gestern Mittag) wieder die mit dem gemeldeten Fehler in der LaunchCondition auf die Platte.

    Ob MS dieses Problem denn wohl irgendwann einmal auf die Reihe bringt?

  • Hallo Herr Freudenberger,

    haben Sie den Fehler schon gemeldet und wenn ja, an wen? Eventuell kann ich meinen US-Kollegen noch einen Tipp geben :)

    Viele Grüße

    Michael Kranawetter

  • Moin, dann wiederhole ich meinen ersten Kommentar, garniert mit ein paar Details:

    der Fehler wurde von mir am 07.11.2010 um 11:23/11:33 CET an das MSRC (und an einen MS-Mia, der zwischenzeitlich leider nicht mehr im Fix it-Team aktiv ist, was ich nicht wußte) gemeldet. Am 08.11.2010, 06:58 CET leitete ich diese Mail(s) an Daniel Melanchthon weiter. Von dort kam bislang *nichts*. Es folgte eine -ähm- Erinnerung meinerseits u.a. an das MSRC (inkl. CC an Katrin L. und Volkan E.) am 12.11.2010 05:59 CET. Eine Reaktion des MSRC (Jack) erfolgte "schon" am 13.11.2010 um 01:15 CET per Mail, in welcher mitgeteilt wurde, man wolle mit dem "Fix it Solution Team" an einer Repro arbeiten (was nicht wirklich nötig ist, denn das Ganze ist offensichtlich). Das wars bis jetzt im Wesentlichen (Geplänkel mit Katrin L. und Jason C. vom 13. und 15.11.2010 lasse ich der Einfachheit außen vor).

    Also dürfen sich die Kunden von MS weiterhin falscher Sicherheit wiegen, wenn sie denn versuchen, das derzeit von MS angebotene Fix it 50556 zu installieren, da die schöne Meldung "Dieses Microsoft-Fix it ist nicht für Ihr Betriebssystem oder Ihre Version der Anwendung vorgesehen" auch so interpretiert werden kann, dass das Fix it nicht notwenig sei (was es aber ist). Well done, Microsoft, once again.

  • Hallo Ottmar,

    der Grund, warum Du von mir zu Dem Thema *nichts* gehört hast, ist recht einfach: Du hast mir Deine Mail an das MSRC "just FYI" geschickt. Da Du das MSRC schon informiert hattest, gab es für mich keinen Grund, darauf ebenfalls aktiv zu werden. Ich habe Deine Mail genau so genommen, wie Du sie geschrieben hast. Als Information für mich.

    Wenn es jetzt Probleme bei der Kommunikation mit dem MSRC gibt, helfe ich gern weiter. Da wir eh gerade per Mail Kontakt haben, antworte ich Dir gleich direkt. Kommentare in Foren oder Blogs sind nicht wirklich für eine effiziente Kommunkation geeignet.

    Viele Grüße,

    Daniel

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment