Microsoft warnt vor Sicherheitslücke im Internet Explorer
Microsoft warnt im Security Advisory 2963983 vor einem Zero-Day-Exploit, der in den Versionen 9, 10 und 11 bereits ausgenutzt wird. Theoretisch sind aber alle Versionen des Browsers ab Version 6 von der Lücke betroffen, die vom Sicherheitsunternehmen FireEye entdeckt wurde.
Microsoft bestätigte am Wochenende vereinzelte gezielte Attacken auf die als CVE-2014-1776 katalogisierte Lücke. Die kritische Lücke erlaubt laut der Erklärung von Microsoft das Ausführen von Code aus der Ferne. Die Lücke besteht in der Funktion wie der Browser auf ein Objekt im Speicher zugreift, das bereits gelöscht oder falsch alloziiert wurde. Somit kann unter Umständen im Kontext des jeweiligen Anwenders beliebiger Code zur Ausführung gelangen. Ein Angreifer könne zu diesem Zweck eine vorbereitete Webseite mit Schadcode schalten. Laut Microsoft sind Experten noch mit der näheren Analyse der Lücke beschäftigt. Nach Abschluss der Analyse werde entweder im Rahmen des monatlichen Patchday oder außer der Reihe eine Lösung des Problems angeboten.
Laut den Forschern bei FireEye überwindet der Zero-Day-Exploit sowohl die ASLR als auch DEP. Drei Parteien nutzten demnach derzeit gezielt diese Lücke. Die Operationen erhielten von FireEye den Codenamen „Operation Clandestine Fox“. Die betroffenen Browser-Versionen betreffen rund ein Viertel des Browsermarkts, werden die Statistiken von Net Market Share zugrunde gelegt.
Zur Ausbeutung der „use-after-free“-Verletzlichkeit werden fortgeschrittene Methoden wie etwa Flash Exploitation zur Überwindung von Microsofts ASLR und DEP angewendet. Somit gilt das Deaktivieren von Flash als die einfachste Maßnahme, um einen Angriff zu verhindern.
Microsoft rät alternativ zu weiteren temporären Maßnahmen, die ausführlich im Security Advisory unter „Suggested Actions“ beschrieben sind. Eine der Maßnahmen ist, unter Extras/Internetoptionen im Browser den erweiterten geschützten Modus einzuschalten. Dazu sind dort zwei Haken bei „64-Bit-Prozesse für erweiterten geschützten Modus aktivieren“ und „Erweiterten geschützten Modus aktivieren“ zu setzen. Zudem kann man unter „Internetoptionen“ auf dem Reiter „Sicherheit“ und dort unter „Internet/Sicherheitslevel für diese Zone“ den Regler auf „Hoch“ schieben. Das Gleiche kann man dort auch für das lokale Intranet tun, falls erforderlich.
Wie gefährlich diese Sicherheitslücke wirklich ist, verdeutlicht die Tatsache, dass sowohl das „US Computer Emergency Readiness Team“ (US-CERT) als auch der britische Gegenpart UK-CERT von der Verwendung des Internet Explorer zumindest zeitweise abraten, bis diese Lücke geschlossen ist. Die dem „Department of Homeland Security“ unterstellte Behörde gibt nicht oft Sicherheitswarnungen verbunden mit einer Empfehlung, das entsprechende Produkt nicht zu verwenden, wie diese für Browser heraus, in der besonders Anwender von Windows XP aufgefordert werden, alternative Browser zu verwenden. Der Support von Windows XP ist am 8. April 2014 ausgelaufen. Die Lücke sollte auf diesem Betriebssystem deshalb nicht mehr geschlossen werden.