Zero-Day-Exploit im Microsoft Internet Explorer: und täglich grüßt das Murmeltier

29. April 2014
|In Security
|By Hans-Jürgen Schwarzer

Erneut ist eine kritische Sicherheitslücke im Microsoft Internet Explorer gefunden worden. Besonders pikant: Der Exploit ist seit Version 6 vorhanden und wird bereits aktiv für Angriffe benutzt.

Am 26. April 2014 hat Microsoft die Existenz eines weiteren Zero-Day-Exploits im Internet-Explorer eingeräumt. Durch einen Bug im Flash-Plugin sei es demnach möglich, über „Remote Code Execution“ Schadcode auszuführen.

Bei dieser Art von Attacke verschafft sich der Angreifer zunächst unberechtigten Zugriff auf den Arbeitsspeicher des Rechners, um dort im ersten Schritt den Schadcode zu hinterlegen. Im Anschluss daran übernimmt er die Kontrolle über den „Instruction Pointer“ eines laufenden Prozesses. Dieser zeigt auf die Stelle im Speicher, an der die nächste auszuführende Anweisung hinterlegt ist. Der findige Leser wird bereits gemerkt haben, worauf es nun hinausläuft: Der Angreifer manipuliert den „Instruction Pointer“ dahingehend, dass er auf den eingeschleusten Schadcode zeigt, wodurch dieser vom Rechner ausgeführt wird.
Auf diese Weise lässt sich die Kontrolle über das System komplett übernehmen.

An und für sich ist ein solcher Bug nichts ungewöhnliches, die „Remote Code Execution“ ist schließlich eines der weitesten verbreiteten Sicherheitsprobleme im Web überhaupt. Doch trotzdem sollten Nutzer des Internet Explorers diese Nachricht nicht leichtfertig abtun, sondern aktiv werden. Denn auch wenn es noch kein offizielles Update gibt, das die Sicherheitslücke schließt, kann man sich mit einigen manuell vorgenommenen Einstellungen absichern.

Setzen sie unter „Extras/Internetoptionen“ bei folgenden Punkten einen Haken:

  • 64-Bit-Prozesse für erweiterten geschützten Modus aktivieren
  • Erweiterten geschützten Modus aktivieren

Dies ist jedoch nur in den Versionen 10 und 11 möglich. Sollten Sie eine ältere Version nutzen, ist ein direkter Umstieg auf die aktuellste Version (oder einen anderen Browser) dringend zu empfehlen.

Entdeckt wurde die Schwachstelle vom Sicherheitsunternehmen „Fire Eye“, das mit einem detaillierten Bericht auf das Problem aufmerksam machte. Im Rahmen dieses Berichts stellten sie zusätzlich fest, dass die gefundene Sicherheitslücke bereits aktiv ausgenutzt wird. Auch wenn sich „Fire Eye“ zur genauen Beschaffenheit dieser Attacken noch nicht geäußert hat, klingt in dem Artikel an, dass es nicht um Einzelfälle, sondern um großflächige, organisierte Angriffe geht. Ob diese Einschätzung in einer Verbindung zur im Bericht beiläufig eingeworfenen Bemerkung steht, dass die Sicherheitssoftware von „Fire Eye“ in Tests effektiv vor der Sicherheitslücke schützte, bleibt dabei der Phantasie des Lesers überlassen.

Falls nun jemand das Gefühl haben sollte, ein Deja Vu zu erleben: Ja, das ist absolut gerechtfertigt. „Fire Eye“ hatte bereits im Februar diesen Jahres einen Zero-Day-Exploit im Internet Explorer aufgedeckt. Diesem Fund wiederum ging ein im November letzten Jahres von „Fire Eye“ entdeckter Zero-Day-Exploit im IE voraus. Nimmt man an, dass sich dieses Muster fortsetzt, können wir uns also irgendwann um Juli herum wieder auf News zum Thema freuen.