[Warning] "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 6 bis 11
Robert Waldner
waldner at cert.at
Mon Apr 28 09:15:11 CEST 2014
28. April 2014
Beschreibung
Der IT-Security-Dienstleister FireEye hat einen Blog-Eintrag
veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft
Internet Explorer 9-11 gewarnt wird:
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html
Aktuell ist nur bekannt, dass diese Schwachstelle in gezielten
Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach dem
Publik-werden nun diverse Akteure darauf konzentrieren werden.
Microsoft hat auch bereits ein Security Advisory dazu herausgegeben:
https://technet.microsoft.com/en-US/library/security/2963983
Auswirkungen
Solche Schwachstellen in Browsern werden typischerweise bei gezielten
Angriffen über "Spearphishing" (eine speziell für das Opfer
vorbereitete Email, die ein Anklicken eines Links auslösen soll) oder
über "Waterholing" (eine vom Opfer regelmäßig besuchte Webseite wird
gehackt und präpariert) ausgenutzt.
Ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook,
Outlook Express und Windows Mail ist nicht möglich, ein Link auf
entsprechend präparierte Webseiten muss vom Benutzer aktiv angeklickt
werden.
Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
betroffenen Systemen ausführen kann, sind alle Daten auf diesen
Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
Systeme gefährdet.
Betroffene Systeme
Nach den aktuell vorliegenden Informationen werden die Versionen 9
bis 11 des Internet Explorers angegriffen, es sind aber die
Versionen 6 bis 11 von diesem Problem betroffen.
* Internet Explorer 6 auf
+ Windows Server 2003 Service Pack 2
+ Windows Server 2003 x64 Edition Service Pack 2
+ Windows Server 2003 SP2 für Itanium-basierte Systeme
* Internet Explorer 7 auf
+ Windows Server 2003 Service Pack 2
+ Windows Server 2003 x64 Edition Service Pack 2
+ Windows Server 2003 SP2 für Itanium-basierte Systeme
+ Windows Vista Service Pack 2
+ Windows Vista x64 Edition Service Pack 2
+ Windows Server 2008 für 32-bit Systeme Service Pack 2
+ Windows Server 2008 für x64-basierte Systeme Service Pack 2
+ Windows Server 2008 für Itanium-basierte Systeme Service
Pack 2
* Internet Explorer 8 auf
+ Windows Server 2003 Service Pack 2
+ Windows Server 2003 x64 Edition Service Pack 2
+ Windows Vista Service Pack 2
+ Windows Vista x64 Edition Service Pack 2
+ Windows Server 2008 für 32-bit Systeme Service Pack 2
+ Windows Server 2008 für x64-basierte Systeme Service Pack 2
+ Windows 7 für 32-bit Systeme Pack 1
+ Windows 7 für x64-basierte Systeme Service Pack 1
+ Windows Server 2008 R2 für x64-basierte Systeme Service
Pack 1
+ Windows Server 2008 R2 für Itanium-basierte Systeme Service
Pack 1
* Internet Explorer 9 auf
+ Windows Vista Service Pack 2
+ Windows Vista x64 Edition Service Pack 2
+ Windows Server 2008 für 32-bit Systeme Service Pack 2
+ Windows Server 2008 für x64-basierte Systeme Service Pack 2
+ Windows 7 für 32-bit Systeme Service Pack 1
+ Windows 7 für x64-basierte Systeme Service Pack 1
+ Windows Server 2008 R2 für x64-basierte Systeme Service
Pack 1
* Internet Explorer 10 auf
+ Windows 7 für 32-bit Systeme Service Pack 1
+ Windows 7 für x64-basierte Systeme Service Pack 1
+ Windows Server 2008 R2 für x64-basierte Systeme Service
Pack 1
+ Windows 8 für 32-bit Systeme
+ Windows 8 für x64-basierte Systeme
+ Windows Server 2012
+ Windows RT
* Internet Explorer 11 auf
+ Windows 7 für 32-bit Systeme Service Pack 1
+ Windows 7 für x64-basierte Systeme Service Pack 1
+ Windows Server 2008 R2 für x64-basierte Systeme Service
Pack 1
+ Windows 8.1 für 32-bit Systeme
+ Windows 8.1 für x64-basierte Systemxse
+ Windows Server 2012 R2
+ Windows RT 8.1
Achtung - Windows XP
Windows XP ist nicht angeführt, da es von Microsoft nicht mehr
unterstützt wird, es ist aber davon auszugehen, dass es auch
betroffen ist.
Wir empfehlen Nutzern, die immer noch Windows XP verwenden, einen
Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
Browser (Mozilla Firefox, Google Chrome, Opera etc.).
Windows Server
Die Default-Einstellungen ("Enhanced Security Configuration") für
Internet Explorer auf Windows Server (Windows Server 2003, Windows
Server 2008, Windows Server 2008 R2, Windows Server 2012 sowie
Windows Server 2012 R2) verhindern ein Ausnutzen dieser Lücke.
Abhilfe
Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von
Microsoft Internet Explorer.
Bis dahin kann mit folgenden Methoden ein Ausnutzen dieser Lücke
verhindert oder zumindest erschwert werden:
* EMET (Enhanced Mitigation Experience Toolkit) ab Version 4.1
aktivieren und für Internet Explorer konfigurieren, Details dazu
finden sich im Advisory von Microsoft (Version 3 von EMET bietet
keinen Schutz)
* Setzen der Sicherheitseinstellungen für "Internet" und "lokales
Intranet" auf "hoch", um Active Scripting (JavaScript) und
ActiveX Controls in diesen Zonen zu deaktivieren. Dies kann
Auswirkungen auf die Funktionalität von Webseiten haben.
* Internet Explorer so zu konfigurieren, dass vor dem Ausführen von
Active Scripting-Komponenten (JavaScript) auf Webseiten beim
Benutzer nachgefragt wird.
* 'VGX.dll' de-registrieren, Details dazu finden sich im Advisory
von Microsoft (hat Auswirkungen auf Seiten, die VML zum rendern
benutzen)
* Aktivieren des "Enhanced Protected Mode" für Internet Explorer 11
sowie "64-Bit Prozessen" für den "Enhanced Protected Mode"
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
* Blog-Post von FireEye vom 26. April 2014 (englisch)
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html
* Security Advisory 2963983 von Microsoft (englisch)
https://technet.microsoft.com/en-US/library/security/2963983
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20140428/09a0b8ac/attachment.sig>
More information about the Warning
mailing list