Angriffe auf Google und Co. durch bislang unbekannte Lücke im Internet Explorer

[Dynamite]

Ersten Analysen des Antivirenherstellers McAfee zufolge nutzten die vermutlich chinesischen Angreifer bei ihrem Einbruch eine bislang unbekannte Sicherheitslücke im Internet Explorer aus. Die Lücke findet sich in den Versionen 6, 7 und 8 und lässt sich missbrauchen, um über eine manipulierte Webseite Code in einen Windows-Rechner zu schleusen und zu starten. Die Angreifer nutzten dies, um einen Trojaner-Downloader in den angegriffenen Rechner zu schleusen. Der lud wiederum über eine SSL-gesicherte Verbindung weitere Module von einem Server nach, unter anderem eine Backdoor, mit der die Angreifer aus der Ferne Zugriff auf den Rechner hatten. Die Links zu den präparierten Webseiten wurden wohl an ausgesuchte Mitarbeiter in den jeweiligen Firmen per Mail gesendet.

Aufgrund der bei der Analyse der Malware gesammelten Daten glaubt McAfee, dass der konzertierte Angriff gegen Google, Adobe und Dutzende weiteren US-Firmen, darunter wahrscheinlich auch Yahoo, Symantec, Juniper Networks, Northrop Grumman und Dow Chemical, unter dem Codenamen "Aurora" ablief. Zumindest sollen Pfadnamen in den Binaries Rückschlüsse darauf zulassen. Zunächst war spekuliert worden, dass für die gezielten Angriffe präparierte PDF-Dokumente verwendet wurden – in den letzten zwei Jahren ein beliebtes Mittel der Angreifer, deren Spuren regelmäßig nach China führen. Zuletzt wurde ein derart großer Feldzug (Ghostnet) bei Angriffen auf ausländische Regierungen im März 2009 bekannt.

Überraschend kommen die neuen Angriffe nicht, eher überrascht es, wieviele Firmen nun Opfer geworden sind. Immerhin warnte die US-Regierung noch im September 2009, dass China seine Cyber-Spionage stärker ankurbele und dabei immer sorgfältiger und erfolgreicher vorgehe. Die nun bekannt gewordenen Angriffe sollen von Mitte Dezember bis Anfang Januar stattgefunden haben. Möglicherweise spielte den Crackern dabei in die Hände, dass in diesem Zeitraum viele Angestellte Urlaub hatten.

Microsoft hat die IE-Lücke offiziell bestätigt und arbeitet bereits an einem Patch, den der Hersteller eventuell auch als "Emergency Patch" außerhalb der Reihe veröffentlicht. Laut Fehlerbericht ist die Lücke zwar in den Versionen 6, 7 und 8 zu finden, die Angriffe zielten aber bislang offenbar nur auf die Version 6 ab – eine interessante Aussage, die die Frage nach dem aktuellen Softwarestand in den betroffenen Unternehmen aufwirft.

Bis zu eine Update empfiehlt Microsoft, die Sicherheitseinstellungen für das Internet und das lokale Intranet auf "hoch" zu setzen. Da der gefundene Exploit JavaScript verwendet, hilft es zunächst auch, JavaScript zu deaktivieren. Zudem empfehlen die Redmonder, die Datenausführungsverhinderung (DEP) zu aktivieren. In den Versionen 7 und 8 ab Vista und später soll sich laut Bericht die Lücke nicht so einfach ausnutzen lassen, da der Internet Explorer dort im geschützten Modus läuft. Alles in allem sind also offenbar XP-Anwender mit Internet Explorer 6 am meisten gefährdet. Derzeit gibt es aber keinen öffentlich verfügbaren Exploit.

Quelle: Heise.de

[Dynamite]

Exploit für IE-Sicherheitslücke jetzt öffentlich

Für das Sicherheitsloch im Internet Explorer, mit dem offenbar der konzertierte Angriff mit dem Codenamen "Aurora" auf Google und Dutzende weitere amerikanische Firmen ablief, ist in mehreren Mailinglisten Exploit-Code aufgetaucht. Das Metasploit-Team hat den Exploit bereits reproduziert ein entsprechendes Modul in sein Exploit-Framework eingebaut. Mitarbeiter des Antivirenherstellers McAfee haben im Firmenblog bestätigt, dass es sich bei dem bekannt gewordenen Exploit um den handele, den sie als Ursache für die groß angelegte Attacke ausgemacht haben.

Da der Code nun für Jedermann verfügbar ist, können jetzt auch Script-Kiddies versuchen, ihn gegen beliebige Opfer einzusetzen. Daher gelten jetzt noch mehr als bisher die Empfehlungen des BSI, einen anderen Browser als den Internet Explorer einzusetzen. Wer den Microsoft-Browser weiterhin nutzen möchte oder muss, dem rät Microsoft, die Sicherheitseinstellungen für das Internet und das lokale Intranet auf "hoch" zu setzen. Da der gefundene Exploit JavaScript verwendet, hilft es zunächst auch, JavaScript zu deaktivieren. Zudem empfehlen die Redmonder, die Datenausführungsverhinderung (DEP) zu aktivieren. Nach aktuellem Erkenntnisstand lässt sich der Exploit in Internet Explorer 8 mit aktiviertem DEP nicht ausnutzen. (jo)

Quelle: Heise.de

[Dynamite]

Lücke im Internet Explorer: Gute und schlechte Nachrichten

US-Medienberichten zufolge will Microsoft noch in dieser Woche einen Emergency Patch veröffentlichen, der die für Angriffe auf Unternehmen wie Google ausgenutzte Lücke im Internet Explorer schließen soll. Derzeit führen die Redmonder noch eine Qualitätssicherung des Patches durch.

Bleibt zu hoffen, dass die Redmonder die Ankündigung wahr machen, denn die Einschläge kommen näher. Mehrere Berichte von Sicherheitsspezialisten widersprechen nämlich Microsofts IE-Verwundbarkeitsmatrix, wonach eigentlich nur Anwender des Internet Explorer 6 unter Windows 2000 und XP besonders gefährdet seien. Microsoft empfiehlt aktuell, auf den Internet Explorer 8 zu wechseln, da dieser zwar die Lücke aufweise, diese dort aufgrund der aktivierten Datenausführungsverhinderung (DEP) nicht ausnutzbar sei.

Dies trifft zwar für den zuerst veröffentlichten Exploit zu. Der Browserspezialist Dino Dai Zovi hat jedoch nach eigenen Angaben einen Exploit entwickelt, der auch mit dem Internet Explorer 7 unter Vista funktioniert. Der Sicherheitsdienstleister Vupen berichtet zudem, er haben einen Exploit für den Internet Explorer 8 entwickelt, der auch mit aktiviertem DEP laufe. Einzige Abhilfe brächte nur, JavaScript abzuschalten. Vupen stellt den Exploit jedoch nur Kunden zum Test zur Verfügung. Damit wird die gestern von Microsoft zur Verfügung gestellte "Fix-it"-Lösung obsolet, da diese nur DEP für den IE aktiviert.

Bislang gibt es zwar keine Berichte, dass Kriminelle die Lücke etwa zum Verteilen von Trojanern per Drive-by-Download missbrauchen. Dennoch empfiehlt es sich, bis zur Veröffentlichtung des Updates einen alternativen Browser einzusetzen, beispielsweise Firefox oder Opera.

Quelle: Heise.de

[Dynamite]

Lücke im Internet Explorer: Rettung naht

Microsoft hat jetzt offizell bestätigt, dass es für den Internet Explorer außer der Reihe einen Patch geben wird. Genauere Angaben zu einem Zeitplan will man bis spätestens 9 Uhr am morgigen Donnerstagvormittag (mitteleuropäischer Zeit) veröffentlichen. Microsoft empfiehlt Anwendern bis dahin weiterhin, auf den Internet Explorer 8 zu wechseln, da dieser über erweiterte Sicherheitsfunktionen wie Datenausführungsverhinderung (Data Execution Prevention, DEP) und den geschützten Modus (Protected Mode) verfüge. Diese würden die derzeit bekannten Angriffe unwirksam machen.

In der Tat scheitert der zuerst aufgetauchte und bei den Aurora-Angriffen benutzte Exploit an DEP. Allerdings haben Sicherheitsspezialisten diesen bereits so weit verfeinert, dass er auch unter dem Internet Explorer 7 unter Vista und sogar dem Internet Explorer 8 mit eingeschaltetem DEP funktionieren soll. Diese kursieren glücklicherweise aber bislang noch nicht in größerer Runde. Da die Lücke in der Verarbeitung eines bestimmten JavaScript-Objekts zu finden ist, hilft zuverlässig nur das Deaktivieren von JavaScript.

Derweil hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Warnung vor dem Internet Explorer erweitert. Neben dem Browser sollen auch andere Microsoft-Produkte betroffen sein, die den MS HTML Viewer benutzen. dazu gehören nach Angaben des BSI Microsoft Outlook (bis einschließlich Outlook 2003), Outlook Express, Windows Mail, Windows Live Mail, das Microsoft Hilfesystem sowie die Microsoft Sidebar. Das BSI gibt diesmal jedoch keine Empfehlung für alternative Produkte.

Bei den Mail-Clients ist JavaScript standardmäßig deaktiviert, daher sind diese im Normalfall auch nicht über prärierte HTML-Mails angreifbar. Das Hilfesystem zur Verarbeitung von chm-Dateien ist indes nur angreifbar, wenn sich das Opfer eine präparierte Datei herunterlädt und öffnet. Die Sidebar ruft Informationen von Webseiten per http ab. Um Opfer dort eines Angriffs zu werden, müsste ein bereits installierte Mini-Anwendung jedoch auf eine präparierte Webseite zugreifen – ein nicht undenkbares, derzeit jedoch eher unrealistisches Szenario. Wer sich unsicher ist, schaltet die Sidebar einfach ab.

Quelle: Heise.de

[Dynamite]

Internet Explorer: Microsoft schließt Browser-Lücke

Microsoft wird am Donnerstagabend die für Angriffe genutzte Sicherheitslücke im Internet-Explorer schließen. Damit reagiert das Unternehmen laut eigenen Angaben auf die zahlreichen Kundenanfragen in den letzten Tagen.

Microsoft gibt in einer Mitteilung an, dass nach der Installation des Updates die Nutzer gegen die bekannten Angriffe geschützt seien. Nutzern, die das automatische Update in Windows aktiviert haben, wird das Update selbsttätig bei Verfügbarkeit eingespielt und installiert.

Weiter gab das Unternehmen bekannt, dass die gegenwärtig bekannten Angriffe nach wie vor keine Auswirkung auf Benutzer des Internet Explorer 8 hätten, da dieser über erweiterte Sicherheitsfunktionen verfüge. Nutzern von älteren Versionen des Internet Explorers wird weiterhin der Umstieg auf die aktuelle Software empfohlen.

Bis zur Verfügbarkeit des Updates rät das Unternehmen weiterhin zu erhöhter Aufmerksamkeit bei Links zu unbekannten, nicht vertrauenswürdigen Webseiten, zur Überprüfung der eigenen PC-Sicherheit, insbesondere zur Installation einer aktuellen Antivirus-Software und zur Aktivierung der Firewall. (mgb)

Quelle: Chip.de

[Dynamite]

Kritische Lücke im Internet Explorer: Microsoft-Patch jetzt hier zum Download

Internet Explorer: Wir raten allen Nutzern älterer Versionen dringend zur Installation des Updates!


Sechs Tage nach der offiziellen Warnung des Bundesamts für Sicherheit in der Informationstechnik hat Microsoft einen Patch veröffentlicht, der die kritische Lücke im Internet Explorer schließen soll. Der entsprechende Patch kann entweder direkt heruntergeladen oder über das automatische Windows-Update bezogen werden.

Der IE-Patch soll laut Angaben von Microsoft dafür sorgen, dass der Nutzer nach der Installation des Updates gegen die bekannten Angriffe geschützt sei. Der Patch betrifft lediglich ältere Versionen des Internet Explorers, die aktuelle Version 8 ist laut Microsoft-Angaben nicht von dem Problem betroffen, da dieser über erweiterte Sicherheitsfunktionen verfüge.

Unterdessen kehren die ersten Bundesministerien dem Browser aus Sicherheits-Gründen den Rücken.

Browser-Wechsel in der Politik
Das Sicherheits-Leck im Internet Explorer 6 beschäftigt auch die Politik: Die Ministerien des Bundes haben eine Warnung vor dem Internet Explorer erhalten.

Das Büro des IT-Beauftragten des Bundes, der im Innenministerium angesiedelt ist, rät den Ministerien dazu, kurzfristig nach Alternativen zu suchen. Zu heikel erscheint dem Technikchef des Bundes die jüngste Lücke im Internet Explorer.

Eine einheitliche Entscheidung gibt es trotzdem nicht. Wie ein Ministeriumssprecher gegenüber CHIP Online sagte, seien die 14 Ämter unabhängig. Sie treffen demnach die Entscheidung über die Auswahl der jeweils eingesetzten Standardsoftware - etwa eines Browsers - innerhalb der Bundesverwaltung vollkommen eigenverantwortlich.

"Unabhängig davon ist das von Ihnen beschriebene Problem der Bundesregierung bekannt", sagte der Sprecher. "Das BSI hat alle Behörden der Bundesverwaltung unter Verwendung der für solche Fälle eingerichteten Meldewege bereits am Freitag, den 15.01., über die Schwachstelle informiert und dabei Empfehlungen zum Umgang ausgesprochen." Diese Information sei am 18.01. wiederholt worden, verbunden mit einer aktualisierten Empfehlung. Ferner werde das BSI bei Bedarf neue Empfehlungen aussprechen.

Zwangsumstellung auf den Firefox
Dass diese Empfehlungen ernst genommen werden, lässt sich am Bundesministerium für Bildung und Forschung ablesen. Hier haben die Anwender bereits am Montag eine Mail der IT-Abteilung erhalten. Inhalt: Vorübergehend werde vom Microsoft-Browser auf die Mozilla-Alternative umgestellt. Wie aus der IT-Abteilung bekannt wurde, sei die Umstellung auf Mozilla für das gesamte Ministerium abgeschlossen und verlaufe planmäßig. Die IT-Abteilung sei derzeit wieder "mit dem Tagesgeschäft" beschäftigt. Wie es weiter hieß, warten die IT-Experten jetzt auf weitere Entscheidungen der Verantwortlichen, was die künftige Wahl des Browsers betrifft.

Auch im Innenministerium geht die Sorge um. Ein Sprecher sagte gegenüber CHIP Online, die Empfehlungen des BSI seien natürlich bekannt. "Soweit die empfohlenen Konsequenzen angesichts der hier eingesetzten unterschiedlichen Browser-Typen und der ergänzenden umfassenden IT-Sicherheitsinfrastruktur relevant sind, wurden sie bereits - unter Abwägung damit verbundener funktionaler Auswirkungen – gezogen", sagte er. (kas/cel)

Quelle: Chip.de

Download: Internet Explorer Patch