Internet Explorer Zero-Day betrifft alle Versionen des Browsers

Originalartikel von Jonathan Leopando, Technical Communications

Microsoft hat am Wochenende das Security Advisory 2963983 (CVE-2014-1776) veröffentlicht, das eine neue Zero-Day-Lücke im Internet Explorer beschreibt. Über das Ausnützen der Sicherheitslücke können Angreifer aus der Ferne Code auf dem System eines Opfers ausführen, wenn dieser Nutzer einen Website aufruft, die unter Kontgrolle der Angreifer steht. Zwar sind lediglich Angriffe auf drei Versionen des IE (9 -11) bekannt, doch die Lücke existiert in allen Versionen, angefangen von der Version 6.

Möglicherweise gibt es die ungepatchte Sicherheitslücke auf vielen Systemen, denn es ist die erste, die auch Windows XP betrifft und dort nicht mehr geschlossen wird. Dies ist die erste Herausforderung, vor der Windows XP-Systeme stehen, nachdem die Unterstützung dafür abgekündigt worden ist. Trend Micro „Ein Leben nach Windows XP“ enthält Best Practices für die Absicherung dieser Systeme.

Die Sicherheitslücke muss sehr ernst genommen werden, doch gibt es auch gute Nachrichten. Zum einen können die Angreifer über die Lücke nur dann Code ausführen, wenn sie dieselben Berechtigungen haben wie der angemeldete Nutzer. Hat aber dieses Konto keine Administrationsrechte, kann der bösartige Code nicht ablaufen. Damit ist also das Risiko etwas niedriger. Zum anderen hat Microsoft auch einige Workarounds mit dem Advisory mitgeliefert. Am einfachsten ist es, den Enhanced Protected Mode (nur in IE10 und IE11 vorhanden) zu aktivieren. Der Exploit Code benötigt auch Adobe Flash, sodass das Entfernen des Flash Players aus IE auch dazu beiträgt, das Risiko zu verringern.

Virtual Patching ist eine weitere Option, die das herkömmliche Patch Management ergänzen kann, liefert die Technik doch „virtuelle Patches“, bis der tatsächliche Fix verfügbar ist. Beispielsweise bot Trend Micro Deep Security Unterstützung für Windows 2000-Lücken auch nach der Abkündigung des Betriebssystems.

Auch das Enhanced Mitigation Experience Toolkit (EMET) ist hilfreich, denn es bietet über verschiedene Technologien einen gewissen Schutz vor Angriffen.

Trend Micro Deep Security und OfficeScan Intrusion Defense Firewall (IDF) haben eine neue Deep Packet Inspection (DPI)-Regel integriert, die dem Schutz vor Missbaruch der Sicherheitslücke dient:

  • 1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)

Es gibt auch eine Regel, die die Nutzung des VML-Tags einschränkt:

  • 1001082 – Generic VML File Blocker

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*