Thema: Schwachstellen im Microsoft Internet Explorer

[SiLæncer]

Mit dem Internet Explorer 7 und Windows Vista führte Microsoft den Protected Mode (geschützter Modus ) für seinen Browser ein: Er soll den Rechner vor Angriffen durch Schwachstellen in IE-Erweiterungen oder im Browser selbst schützen und das Aufspielen von Schadsoftware auf diesem Weg verhindern.

Im IE 8 ist der Protected Mode für alle Sites
des lokalen Intranet abgeschaltet.

Forscher von Verizon Business beschreiben (PDF) nun einen Weg, wie sich der Protected Mode im IE 7 und 8 umgehen lässt, um Zugriff auf Benutzerkonten erhält. Voraussetzung ist eine Schwachstelle im Browser oder einer Erweiterung, die das Ausführen von Schadcode erlaubt. Dieser läuft zwar zunächst nur im sogenannten Low Integrity Mode des Browsers, kann jedoch trotzdem einen Webserver auf dem Rechner starten, der Anfragen auf einem beliebigen Port des Loopback-Interfaces beantwortet. Durch Aufruf der Funktion IELaunchURL() kann der Angreifer den IE zum Laden einer URL von diesem Webserver veranlassen, etwa "http://localhost/exploit.html". In der Regel gehört localhost zur Local Intranet Zone des IE; für Inhalte aus dieser Zone ist der Protected Mode deaktiviert.

Nutzt man nun in dieser Situation denselben Exploit ein zweites Mal aus, lässt sich beliebiger Code in der Sicherheitsstufe "Medium Integrity" ausführen. Er hat dann Zugriff auf das Benutzerkonto und kann beliebige Software dauerhaft auf dem Rechner installieren.

Als Schutz vor dem beschriebenen Angriff empfehlen die Forscher unter anderem, möglichst wenige Sites in die lokale Intranetzone des IE aufzunehmen und den Protected Mode für alle Zonen des Browsers zu aktivieren.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsexperten von 'Vupen' machen auf eine bisher ungepatchte Sicherheitslücke im Internet Explorer von Microsoft aufmerksam. Ein Angreifer könnte die komplette Kontrolle über ein verwundbares System übernehmen, heißt es.

Schuld sei an dieser Problematik ein Fehler in der Programmbibliothek namens mshtml.dll. Dieser tritt auf, wenn Webseiten mit Cascading Style Sheets (CSS) verarbeitet werden, in denen bestimmte "@import"-Referenzen enthalten sind. Über entsprechend präparierte Webseiten soll sich die Schwachstelle ausnutzen lassen.

Den Angaben von Vupen zufolge ist von diesem Fehler der Internet Explorer 8 unter Windows 7, Windows Vista SP2 und Windows XP SP3 betroffen. Ebenfalls anfällig seien die Versionen 6 und 7 des Microsoft-Browsers unter Windows XP mit installiertem Service Pack 3.

Ob die Schwachstelle bereits aktiv im großen Rahmen ausgenutzt wird, ist gegenwärtig noch unklar. Abgesehen von der bestätigten Schwachstelle selbst wurde im Netz auch erster Beispielcode veröffentlicht.

Wann mit einem Patch von Microsoft zu rechnen ist, teilte der Softwarekonzern aus Redmond noch nicht mit. Im Allgemeinen haben die Entwickler noch nicht auf diese Schwachstelle reagiert.

Quelle : http://winfuture.de

[SiLæncer]

Für die seit rund zwei Wochen bekannte kritische Lücke im Internet Explorer ist nun ein Exploit im Umlauf. Der Angreifer muss den IE-Nutzer lediglich auf eine speziell präparierte Webseite lotsen, um beliebigen Schadcode auf dem System des Opfers auszuführen.

Die Schwachstelle tritt bei der Auswertung von @import-Regeln in Cascading Style Sheets (CSS) auf. Laut Vupen sind die Internet-Explorer-Versionen 6 bis 8 unter Windows XP bis 7 verwundbar, auch Windows Server. Microsoft hat sich bislang nicht zu dem Problem geäußert. Ob und wann ein Patch kommt, ist derzeit noch unklar.

Quelle : www.heise.de

[SiLæncer]

Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.

Der Exploit nutzt eine Schwachstelle bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS), um Datenausführungsverhinderung (DEP) und Adress Space Layout Randomisation (ASLR) zu überwinden. Als Workaround empfiehlt der Hersteller, den Prozess iexplore.exe mit dem kostenlosen Sicherheitstool EMET abzuhärten.. Ein Patch ist derzeit in Arbeit, jedoch will sich Microsoft noch nicht festlegen, ob dieser außer der Reihe oder erst am nächsten Patchday erscheint.

Laut Microsoft kann der Schadcode unter Windows Vista und 7 nur mit eingeschränkten Rechten wüten, da der IE die Seiten hier standardmäßig im geschützten Modus ausführt. Ansonsten hat der Schädling zunächst die Rechte des angemeldeten Nutzers. Das ist vor allem bei Windows XP ein Problem, da die Anwender hier häufig dauerhaft mit Adminrechten angemeldet sind. Unter Windows Server 2003 und 2008 werden Internetseiten in der Standardkonfiguration mit der höchsten Sicherheisstufe geladen, was die Angriffsfläche laut Microsoft zumindest reduzieren soll.

Mailclients wie Outlook, Outlook Express und Windows Mail, die den IE zur Darstellung von HTML-Mails nutzen, verzichten zunächst auf das Ausführen von JavaScript und ActiveX-Controls. Das soll es Angreifern erschweren, Schadcode auf dem System auszuführen. Da man die Lücke jedoch über CSS ausnutzen kann, stellt sich die Frage, ob diese Information die Anwender nicht in falscher Sicherheit wiegt. Auch andere Programme, welche die IE-Komponente nutzen, dürften auf diesem Wege angreifbar sein.

Quelle : www.heise.de

[SiLæncer]

Eine kritische Sicherheitslücke im Microsoft Internet Explorer wird offenbar zunehmend von Cyberkriminellen ausgenutzt. Die seit Dezember bekannte Schwachstelle basiert auf einem Fehler bei der Handhabung von Cascading Style Sheets (CSS) und erlaubt bei richtiger Ausnutzung die Übernahme des Rechners. Einen Patch gibt es bisher nicht.

Eine Besonderheit der Sicherheitslücke ist die Tatsache, dass die Schutzfunktionen moderner Windows-Systeme ausgehebelt werden. Die in das aktuelle Betriebssystem Windows 7 eingebauten Sicherheitsmechanismen DEP (data execution prevention) und ASLR (address space layout randomization) bieten in diesem Fall keinen zuverlässigen Schutz. Somit sind auch Windows 7 und der Internet Explorer 8 von der Problematik betroffen.  

Microsoft hatte die Schwachstelle Ende Dezember bestätigt. Da zu diesem Zeitpunkt jedoch keine Fälle bekannt waren, in denen die Schwachstelle aktiv ausgenutzt wurde, sah man zunächst keinen Grund für ein außerplanmäßiges Update. Man beschloss, die Situation weiter zu beobachten und im Falle einer weiterhin akzeptablen Bedrohungslage auf den Februar-Patchday - dem nächsten regulären Termin für Browser-Updates - zu warten.

Nun gerät der Internet Explorer jedoch aufgrund dieses Fehlers zunehmend unter Beschuss. In einem Update des Advisories zum Thema heißt es, es gebe "begrenzte Angriffe", die man derzeit untersuche. Zudem veröffentlichte Microsoft einen Workaround, mit dem sich die Problematik umgehen lässt. Dieser könnte allerdings womöglich die Funktionalität des Browsers auf bestimmten Seiten einschränken. Microsoft erwähnt, Benutzer könnten eine höhere Hardware-Belastung beziehungsweise "leichte Performance-Probleme" erleben. Dies liege an der Notwendigkeit, CSS-Dateien zu blockieren.

Bisher gibt es keine offizielle Ankündigung, wann ein Update zur Verfügung gestellt wird.

Quelle : www.gulli.com

[SiLæncer]

Der Sicherheitsforscher Rosario Valotta hat eine Zero-Day-Lücke in allen Versionen des Internet Explorer gefunden, die sich für einen Diebstahl beliebiger Cookies über das Netz eignet. Normalerweise verhindert das Sicherheitszonenmodell des Internet Explorer, dass Seiten aus der Internetzone Inhalte aus der lokalen Zone, also etwa von der Festplatte, als iFrame einbetten. Der Forscher hat entdeckt, dass Cookies hiervon offenbar ausgenommen sind und man sie sehr wohl in iFrames laden kann. Anschließend wird der Cookietext unsichtbar markiert und vom Nutzer vom iFrame in das Hauptfenster herübergezogen und fallengelassen. Damit der Anwender davon nichts mitbekommt, hat Valotta das Ganze in ein Spiel verpackt.

Trivial ist dieser Angriff nicht: Abgesehen davon, dass das Auslesen der Daten mittels Drag&Drop die Internetaktion des Opfers erfordert, was Valotta in seinem Demovideo mit einem einfachen Puzzlespiel gelöst hat, muss der Angreifer auch den genauen Pfad des Cookies kennen. Der Pfad enthält den Windows-Benutzernamen des Opfers, welchen der Angreifer daher erst einmal in Erfahrung bringen muss.

Valotta löst dies, indem er ein Bild in die Angriffswebseite eingebettet, das auf einer SMB-Netzwerkfreigabe liegt. Zum Zugriff verlangt der Server jedoch eine Authentifizierung per NTLM. Dabei sendet der Rechner den Benutzernamen des angemeldeten Nutzers im Klartext – was der Angreifer einfach mit einem Packet-Sniffer mithören kann. Auch die Betriebssystemversion des Opfers muss der Angreifer in Erfahrung bringen, um den Pfad zu vervollständigen; etwa indem er das JavaScript-Objekt navigator.userAgent auswertet. Gegenüber einem passiven Angriff mit Firesheep ist der Aufwand also deutlich höher.

Gegenüber Reuters gab Valotta an, auf diese Weise innerhalb von drei Tagen über 80 Cookies seiner 150 Freunde bei Facebook eingesammelt zu haben. Valotta hat die ursprüngliche Lücke am 28. Januar des laufenden Jahres dem Microsoft Security Response Center gemeldet, wohin das Problem bis zum Erscheinen der Finalversion des IE9 am 18. März auch behoben wurde. Allerdings hat der Forscher nur zwei Wochen darauf bereits einen leicht abgewandelten Weg gefunden, auch die Cookies von IE9-Nutzern zu stehlen, wie er auf der Sicherheitskonferenz Hackinthebox in Amsterdam demonstrierte.

Quelle : http://www.heise.de/newsticker/meldung/Internet-Explorer-Cookie-Klau-leicht-gemacht-1250725.html

[SiLæncer]

Microsoft und Google warnen unabhängig voneinander vor einem Zero-Day-Exploit für den Internet Explorer (IE), der für die Ausführung von Schadcode genutzt werden kann und offenbar dazu eingesetzt wird, in GMail-Konten einzubrechen. Bislang gibt es keinen Patch für die Schwachstelle. Microsoft stellt jedoch mittlerweile einen automatisierten Workaround bereit.

Microsoft warnt in einem am gestrigen Dienstag veröffentlichten Advisory vor der Schwachstelle, die bereits aktiv ausgenutzt werde. Die Schwachstelle, die auf einem Fehler in der Speicherverwaltung beruht, ermöglicht das Ausführen von Schadcode mit wenig oder gar keiner Benutzer-Interaktion - das Opfer muss lediglich eine entsprechend präparierte Website mit dem verwundbaren Browser ansurfen (ein sogenannter "Drive-by-Download").

Google warnte in einer separaten Nachricht ebenfalls vor der Schwachstelle und berichtete, diese werde "in freier Wildbahn aktiv für gezielte Angriffe ausgenutzt". Einem Bericht der Sicherheitsexperten Ryan Naraine, Emil Protalinski und Dancho Danchev vom Blog "Zero Day" zufolge bestätigte eine Quelle aus dem Umfeld des Google-Sicherheitsteams, die Schwachstelle beziehungsweise deren Ausnutzung für gezielte Angriffe auf GMail-Konten stehe hinter Googles kürzlicher Entscheidung, GMail-Nutzer explizit vor "staatlich gesponserten Angriffen" auf ihre Mail-Konten zu warnen. Auf Twitter gibt es mittlerweile eine ganze Reihe von GMail-Nutzern, die berichten, die entsprechende Warnung erhalten zu haben.

Einen Patch für die Schwachstelle gibt es bislang nicht. Microsoft stellt jedoch mittlerweile ein Tool zur Verfügung, das automatisiert den entsprechenden Angriffsvektor blockiert. Auf der Microsoft-Website findet sich eine Anleitung zur Anwendung des Tools. Alternativ können Nutzer des Internet Explorer auch die Nutzung von Active Script ganz deaktivieren oder nur auf explizite Nachfrage erlauben.

Quelle : www.gulli.com

[SiLæncer]

Für die jüngst bekannt gewordene kritische Lücke in den Microsoft XML Core Services, die sich via Internet Explorer und über Office-Dokumente ausnutzen lässt, gibt es inzwischen einen öffentlichen Exploit. Dieser funktioniert derzeit zwar nur mit Microsoft XML Core Services 3.0 via IE6 und IE7 über Windows XP (SP3). Grundsaetzlich betroffen sind jedoch alle Windows-Versionen, sodass es höchste Zeit ist, das von Microsoft herausgegebene "FixIt" einzuspielen.

Typischerweise dauert es nur wenige Tage, bis öffentliche Exploits in großem Stil ausgenutzt werden. Gerüchteweise waren Angriffe über diese Lücke der Auslöser für Googles Warnsystem vor möglichen staatlichen Angriffen.

Quelle : www.heise.de

[SiLæncer]

Wie Googles Chrome hat auch Microsoft in der kommenden Version 10 des Internet Explorer den Flash-Player bereits integriert und kümmert sich selbst um die Updates. Oder auch nicht. Denn in Windows 8 ist nach wie vor die Version 11.3.372.94 vom 19. Juli 2012 installiert, obwohl es von Adobe bereits am 15. August ein Sicherheitsupdate gab, dem nach nur einer Woche ein weiteres folgte.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Nachdem es Kritik hagelte, will Microsoft den in seinem neuen Internet Explorer festintegrierten Flash Player nun doch vor der offiziellen Freigabe von Windows 8 aktualisieren. ZDNet berichtet, Microsoft wolle "in Kürze" einen Fix bereitstellen. Er soll eine Sicherheitslücke schließen, die Adobe in seinem eigenen Player bereits im August behoben hatte.

Ursprünglich wollte Microsoft mit dem Patch bis zum offiziellen Erscheinungstermin von Windows 8 am 26. Oktober 2012 warten, da das automatisch Update für Windows 8 noch nicht in Betrieb ist. Das Betriebssystem steht jedoch schon seit Mitte August den Abonnenten von MSDN und Technet zur Verfügung, und auch Unternehmen können eine Testversion herunterladen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Cyber-Ganoven nutzen eine bislang offenbar unbekannte und ungepatchte Schwachstelle im Internet Explorer aus, um Rechner mit Malware zu infizieren, wie Eric Romang in seinem Blog berichtet. Die Lücke hängt anscheinend damit zusammen, wie der IE <img>-Elemente in HTML-Dateien verarbeitet. Bislang haben es die Angreifer ausschließlich auf die IE-Versionen 7 und 8 unter Windows XP abgesehen. Ob der Exploit auch in Verbindungen mit anderen Software-Konstellationen zündet, ist noch unklar.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Wer derzeit zum Surfen einen Microsoft-Browser nutzt, sollte fürs erste davon absehen, außer im Falle des Internet Explorer 10, der bei Windows 8 vorinstalliert ist. Diese Version ist als einzige nicht betroffen, ansonsten wurde die Warnung vor dem IE auf alle Betriebssystem-Ausgaben ausgedehnt.

Gestern Abend berichten wir über eine kritische Sicherheitslücke beim Internet Explorer (IE) 7 sowie 8. Nachdem es zunächst geheißen hatte, dass nur Windows XP davon betroffen ist, hat das Redmonder Unternehmen in der Nacht auf heute die Warnung (deutlich) ausgedehnt und zwar auf praktisch alle derzeit üblichen IE-Ausgaben und Microsoft-Betriebssysteme.

Die Schwachstelle, die dazu verwendet werden kann, um beliebigen Schadcode auf ein System einzuschleusen, betrifft laut einer Warnung in Microsofts 'Security TechCenter' die Internet-Explorer-Versionen 6, 7, 8, und 9, Nummer 10 ist, wie anfangs erwähnt, ausgenommen.

Bei der Sicherheitslücke handelt es sich um einen Fehler, der auftritt, wenn der Internet Explorer auf ein Objekt zugreift, das gelöscht oder nicht ordnungsgemäß zugeteilt worden ist. Dieses Sicherheitsproblem kann von Angreifern mit Hilfe einer manipulierten Webseite ausgenutzt werden.

Microsoft gibt an, dass das Problem derzeit untersucht wird, davon hängt auch ab, welche Gegenmaßnahme ergriffen wird, also ob es ein Update im Rahmen des monatlichen Patch-Days geben wird oder ob es einen außerplanmäßigen Fix geben wird. Angesichts der Schwere der Lücke ist aber wohl letzteres zu erwarten.

Unter dem Punkt "Suggested Actions" führt Microsoft einige Workarounds auf, darunter die Installation des Enhanced Mitigation Experience Toolkit (EMET) sowie die Deaktivierung von ActiveX und Active Scripting (über Sicherheits-Stufe Hoch in den Internet-Einstellungen). Mittlerweile hat auch das Bundesamt für Sicherheit für Informationstechnik eine Warnung vor diesem Exploit bzw. dem Internet Explorer herausgegeben, dort wird auch das wohl einfachste Gegenmittel empfohlen, nämlich die Nutzung eines anderen Browsers.

Quelle: www.winfuture.de

[Jürgen]

Es gibt noch weitere Besorgnisse, die möglicherweise trotz Verwendung anderer Browser bedacht werden sollten.

Der IE ist nicht nur ein Browser, sondern er liefert, je nach Windows-Version, auch noch ein ganzes Bündel an System-Funktionen mit, das u.U. auch indirekt missbraucht werden könnte, und zwar auch, wenn der IE nicht als Standard-Browser eingetragen ist.

So gibt es Dateitypen-Zuweisungen, die oft trotz anderer Standardbrowser meist mit dem IE (.html, .mht usw.) oder verknüpften Komponenten (z.B. Hilfe-System) geöffnet werden.
Und das in der standardmäßig als sicher(er) eingeschätzten lokalen Zone...
Manche davon könnten sogar auch externe Webinhalte aufrufen, ggf. über die IE Engine.

So sollten sich vorerst auch geübte Nutzer anderer Browser nicht leichtfertig in Sicherheit wähnen, bevor nicht weitere Details bekannt sind.

Aus ähnlichen Überlegungen heraus habe ich Dateitypen-Verknüpfungen immer wieder mal durchgeflöht und solche zum IE händisch umgebogen, oder derlei Dateien zumindest in alternativen Browsern strikt auf Speichern statt Öffnen gesetzt.

Allerdings gibt es auch Anwendungen, die fahrlässigerweise an irgendeiner Stelle den IE direkt aufrufen, nicht den Standardbrowser.
Wenn ich mich recht erinnere, galt das auch mal z.B. für die EPG-Anzeige per HTML in originaler DVB-Software.
Man sei also insbesondere dann gewarnt, wenn eine Anwendung bei der Installation eine bestimmte IE-Version als Mindestanforderung angibt.
Jubelt man dem Nutzer nun irgendwie ein Plugin dafür unter, könnte auch darüber eine IE-Schwachstelle ausgenutzt werden.

Jürgen

[SiLæncer]

Microsoft will im Laufe der nächsten Tage ein Fix-it-Tool anbieten, das die kritische Internet-Explorer-Lücke behelfsmäßig abdichten soll, bis ein passender Patch bereitsteht. Dies gab das Unternehmen in seinem Sicherheitsblog bekannt.

Das Tool soll "jeder Internet-Explorer-Nutzer" installieren können und sich nicht weiter auf das Surfen auswirken – beide wichtige Punkte, die die derzeit von Microsoft empfohlenen Workarounds nicht erfüllen. Denn das Abdichten mit dem Admin-Tool EMET, das nur in englischer Sprache angeboten wird, bekommt längst nicht jeder hin. Und das Deaktivieren von Active Scripting führt dazu, dass viele Webseiten nicht mehr vernünftig funktionieren.

Microsoft gibt in seinem Blog an, dass bislang nur "ein paar" Versuche beobachtet wurden, die Schwachstelle auszunutzen und davon nur eine "extrem begrenzte Anzahl von Personen" betroffen seien. Die Tatsache, dass längst ein Modul für das Angriffsframework Metasploit verfügbar ist, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann, erwähnt das Unternehmen indes nicht.

Auch den einfachsten Weg, sich sofort vor Angriffen durch die IE-Lücke zu schützen, verschweigt Microsoft seinen Kunden weiterhin – nämlich den Einsatz eines alternativen Webbrowsers wie Firefox oder Google Chrome. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, den IE zu meiden, bis Microsoft das Problem in den Griff bekommen hat.

Wer sich für die Details der Schwachstelle interessiert, findet eine detaillierte Analyse bei dem Sicherheitsblog Vulnhunt. Es handelt sich demnach um eine sogenannte Use-after-free-Lücke in der Funktion CMshtmlEd::Exec(). Sie führt im Endeffekt dazu, dass der IE beim Aufruf spezieller präparierter Webseiten Schadcode ausführt.

Quelle: www.heise.de

[SiLæncer]

Microsoft hat ein Fix-it-Tool herausgegeben, mit dem die kritische Schwachstelle im Internet Explorer bis zum Erscheinen eines Patches provisorisch abgedichtet werden kann. Den endgültigen Patch will das Unternehmen ab dem morgigen Freitag über Windows Update verteilen, wie es in seinem Sicherheitsblog angekündigt hat.

Der ganze Artikel

Quelle : www.heise.de