[Warning] "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 6 bis 11

Robert Waldner waldner at cert.at
Mon Apr 28 09:15:11 CEST 2014


28. April 2014

Beschreibung

   Der IT-Security-Dienstleister FireEye hat einen Blog-Eintrag
   veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft
   Internet Explorer 9-11 gewarnt wird:

http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

   Aktuell ist nur bekannt, dass diese Schwachstelle in gezielten
   Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach dem
   Publik-werden nun diverse Akteure darauf konzentrieren werden.

   Microsoft hat auch bereits ein Security Advisory dazu herausgegeben:
   https://technet.microsoft.com/en-US/library/security/2963983

Auswirkungen

   Solche Schwachstellen in Browsern werden typischerweise bei gezielten
   Angriffen über "Spearphishing" (eine speziell für das Opfer
   vorbereitete Email, die ein Anklicken eines Links auslösen soll) oder
   über "Waterholing" (eine vom Opfer regelmäßig besuchte Webseite wird
   gehackt und präpariert) ausgenutzt.
   Ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook,
   Outlook Express und Windows Mail ist nicht möglich, ein Link auf
   entsprechend präparierte Webseiten muss vom Benutzer aktiv angeklickt
   werden.

   Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
   beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
   betroffenen Systemen ausführen kann, sind alle Daten auf diesen
   Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
   ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
   Systeme gefährdet.

Betroffene Systeme

   Nach den aktuell vorliegenden Informationen werden die Versionen 9
   bis 11 des Internet Explorers angegriffen, es sind aber die
   Versionen 6 bis 11 von diesem Problem betroffen.
     * Internet Explorer 6 auf
          + Windows Server 2003 Service Pack 2
          + Windows Server 2003 x64 Edition Service Pack 2
          + Windows Server 2003 SP2 für Itanium-basierte Systeme
     * Internet Explorer 7 auf
          + Windows Server 2003 Service Pack 2
          + Windows Server 2003 x64 Edition Service Pack 2
          + Windows Server 2003 SP2 für Itanium-basierte Systeme
          + Windows Vista Service Pack 2
          + Windows Vista x64 Edition Service Pack 2
          + Windows Server 2008 für 32-bit Systeme Service Pack 2
          + Windows Server 2008 für x64-basierte Systeme Service Pack 2
          + Windows Server 2008 für Itanium-basierte Systeme Service
            Pack 2
     * Internet Explorer 8 auf
          + Windows Server 2003 Service Pack 2
          + Windows Server 2003 x64 Edition Service Pack 2
          + Windows Vista Service Pack 2
          + Windows Vista x64 Edition Service Pack 2
          + Windows Server 2008 für 32-bit Systeme Service Pack 2
          + Windows Server 2008 für x64-basierte Systeme Service Pack 2
          + Windows 7 für 32-bit Systeme Pack 1
          + Windows 7 für x64-basierte Systeme Service Pack 1
          + Windows Server 2008 R2 für x64-basierte Systeme Service
            Pack 1
          + Windows Server 2008 R2 für Itanium-basierte Systeme Service
            Pack 1
     * Internet Explorer 9 auf
          + Windows Vista Service Pack 2
          + Windows Vista x64 Edition Service Pack 2
          + Windows Server 2008 für 32-bit Systeme Service Pack 2
          + Windows Server 2008 für x64-basierte Systeme Service Pack 2
          + Windows 7 für 32-bit Systeme Service Pack 1
          + Windows 7 für x64-basierte Systeme Service Pack 1
          + Windows Server 2008 R2 für x64-basierte Systeme Service
            Pack 1
     * Internet Explorer 10 auf
          + Windows 7 für 32-bit Systeme Service Pack 1
          + Windows 7 für x64-basierte Systeme Service Pack 1
          + Windows Server 2008 R2 für x64-basierte Systeme Service
            Pack 1
          + Windows 8 für 32-bit Systeme
          + Windows 8 für x64-basierte Systeme
          + Windows Server 2012
          + Windows RT
     * Internet Explorer 11 auf
          + Windows 7 für 32-bit Systeme Service Pack 1
          + Windows 7 für x64-basierte Systeme Service Pack 1
          + Windows Server 2008 R2 für x64-basierte Systeme Service
            Pack 1
          + Windows 8.1 für 32-bit Systeme
          + Windows 8.1 für x64-basierte Systemxse
          + Windows Server 2012 R2
          + Windows RT 8.1

Achtung - Windows XP

   Windows XP ist nicht angeführt, da es von Microsoft nicht mehr
   unterstützt wird, es ist aber davon auszugehen, dass es auch
   betroffen ist.
   Wir empfehlen Nutzern, die immer noch Windows XP verwenden, einen
   Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
   Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
   Browser (Mozilla Firefox, Google Chrome, Opera etc.).

Windows Server

   Die Default-Einstellungen ("Enhanced Security Configuration") für
   Internet Explorer auf Windows Server (Windows Server 2003, Windows
   Server 2008, Windows Server 2008 R2, Windows Server 2012 sowie
   Windows Server 2012 R2) verhindern ein Ausnutzen dieser Lücke.

Abhilfe

   Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von
   Microsoft Internet Explorer.

   Bis dahin kann mit folgenden Methoden ein Ausnutzen dieser Lücke
   verhindert oder zumindest erschwert werden:
     * EMET (Enhanced Mitigation Experience Toolkit) ab Version 4.1
       aktivieren und für Internet Explorer konfigurieren, Details dazu
       finden sich im Advisory von Microsoft (Version 3 von EMET bietet
       keinen Schutz)
     * Setzen der Sicherheitseinstellungen für "Internet" und "lokales
       Intranet" auf "hoch", um Active Scripting (JavaScript) und
       ActiveX Controls in diesen Zonen zu deaktivieren. Dies kann
       Auswirkungen auf die Funktionalität von Webseiten haben.
     * Internet Explorer so zu konfigurieren, dass vor dem Ausführen von
       Active Scripting-Komponenten (JavaScript) auf Webseiten beim
       Benutzer nachgefragt wird.
     * 'VGX.dll' de-registrieren, Details dazu finden sich im Advisory
       von Microsoft (hat Auswirkungen auf Seiten, die VML zum rendern
       benutzen)
     * Aktivieren des "Enhanced Protected Mode" für Internet Explorer 11
       sowie "64-Bit Prozessen" für den "Enhanced Protected Mode"

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   * Blog-Post von FireEye vom 26. April 2014 (englisch)

http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html
   * Security Advisory 2963983 von Microsoft (englisch)
     https://technet.microsoft.com/en-US/library/security/2963983


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20140428/09a0b8ac/attachment.sig>


More information about the Warning mailing list