Schlagwort-Archive: Internet Explorer

Virtual Patching jetzt gefragt

Originalbeitrag von Pawan Kinger, Director Deep Security Labs

Nachdem Microsoft drei kürzlich veröffentlichte Sicherheitslücken noch nicht gepatcht hat, rückt der Einsatz von Intrusion Prevention System (IPS) wieder in den Mittelpunkt des Interesses. Dieses virtuelle Patching soll vor vor Angriffen über diese Lücken schützten und ermöglicht es, Systeme so lange abzusichern, bis der Anbieter einen Patch dafür bereitstellt.
Weiterlesen

Zero-Day-Lücke im IE wird für gezielte Angriffe missbraucht

Originalartikel von Pavan Thorat, Vulnerability Researcher

Eine Woche nach dem üblichen September Patch-Dienstag hat Microsoft einen “Fix It”-Workaround veröffentlicht, um eine neue Zero-Day-Lücke im Internet Explorer (CVE-2013-3893) zu schließen. Die Sicherheitslücke wird bereits aktiv in bestimmen zielgerichteten Angriffen ausgenützt.
Weiterlesen

Internet Explorer: Das bekannte ist das kleinere Übel

Kommentar von Rik Ferguson, Director Security Research & Communications EMEA

Bild: Steve Dinn

Die Nachricht vom Zero-Day-Exploit für Microsofts Internet Explorer hat die Diskussion darüber, welcher Browser der sicherste ist, erneut aufflammen lassen. Viele wohlmeinende Stimmen von Experten, CEOs und sogar das BSI rieten zum Wechsel des Browsers. Doch ist das realistisch und tatsächlich sinnvoll?

Sicherheit gründet sich nicht auf reflexhafte Reaktionen auf einzelne Ereignisse, sondern auf den Aufbau einer Strategie, die dazu führt, das Risiko mit der Zeit zu minimieren. Eine solche Strategie sollte auch Änderungen um der Änderung willen vermeiden, denn jede neue Technologie, mit der die Anwender noch nicht vertraut sind, bringt aus diesem Grund neue Risiken mit sich.

Die beiden bekanntesten Alternativen zum Internet Explorer, die auch am häufigsten empfohlen werden, sind Google Chrome und Mozilla Firefox. Keiner von beiden Browsern ist vor Schwachstellen und Zero-Day-Angriffen gefeit. Aufgrund des vorhandenen Beweismaterials kann man sogar davon ausgehen, dass der IE das geringere Übel darstellt.

2011 hatte Google Chrome mit 275 neuen Sicherheitslücken die höchste für den Browser gemeldete Zahl an Bedrohungen seit seiner Einführung. Die Bedrohungen für Mozilla Firefox gehen zwar seit 2009 zurück, doch waren es immer noch 97 Sicherheitslücken im letzten Jahr. Der Trend für IE war während der letzten fünf Jahre rückläufig, und für 2011 wurden nur 45 neue Sicherheitslücken gemeldet, weniger als für jeden anderen Browser, ausgenommen Apples Safari mit ebenfalls 45.

Natürlich ist die reine Anzahl von Sicherheitslücken wenig aussagekräftig, ohne die entsprechende Schwere der Bedrohung zu berücksichtigen. Betrachtet man die Zero-Day-Schwachstellen ändern sie den Vergleich kaum: Chrome und IE hatten jeweils sechs, während Mozilla Firefox auf vier kam.

Die einfache Erkenntnis daraus ist, dass wir Zero-Day-Sicherheitslücken wie der aktuellen ungerechtfertigt hohe Aufmerksamkeit schenken. Schon die Bezeichnung weckt Ängste, auch bei Leuten, denen nicht ganz klar ist, was die Begriff bedeutet. Unternehmen und Privatpersonen haben es schwer genug, ihre Browser auf aktuellem Stand zu halten, wobei die Zahl der schließbaren Lücken viel höher ist als die gelegentlichen Zero-Day-Bedrohungen. Auch richten sich die Angriffe zunehmend auf Anwendungs-Plugins wie QuickTime, Flash oder Acrobat, die in den verschiedenen Browsern und Betriebssystemen angewendet werden können. Darüber hinaus gibt es vor allem Angriffe auf Einzelpersonen und den Browser, den diese jeweils benutzen. Dazu gehören die Phishing-Angriffe oder Social Engineering-Attacken.

Tatsache ist, der Browser garantiert niemand Sicherheit, der Einzelne muss selbst für seine Sicherheit sorgen, unabhängig davon, welchen Browser er wählt. In den meisten Fällen empfiehlt es sich, bei dem Browser zu bleiben, den der Nutzer am besten kennt, und diesen zu sichern.

Schließlich ist das Vorhandensein einer Sicherheitssoftware für den PC genauso wichtig, wie der Sicherheitsgurt im Auto. Einzelheiten zu der Funktionsweise von Sicherheitssoftware finden Interessierte beispielsweise in dem Report von NSS Labs.

Trend Micro schützt vor aktiven Exploits der jüngsten Sicherheitslücken im Internet Explorer

Originalartikel von Pavithra Hanchagaiah (Senior Security Researcher)

Neben dem regulären monatlichen Patch-Release, das Microsoft gestern veröffentlichte und eine relativ große Anzahl an Sicherheitslücken im Internet Explorer (IE) schließt (MS12-037), berichtete Microsoft über eine weitere IE-Sicherheitslücke, zu der es allerdings noch keinen Patch gibt. Das MS Security Advisory (2719165) identifizierte die Microsoft XML (MSXML) Core Services als die verwundbare Stelle. MSXML bietet eine Reihe von W3C-konformen XML APIs, die es Anwendern ermöglichen, Jscript, VBScript und Microsoft-Entwicklungswerkzeuge zur Erstellung von Anwendungen auf Basis des XML 1.0-Standards zu nutzen.

Die Sicherheitslücke in den Microsoft XML Core Services ermöglicht das Ausführen von Code durch Dritte über den Zugriff auf ein nicht initialisiertes COM-Objekt im Arbeitsspeicher. Wenn die Lücke erfolgreich ausgenutzt wird, könnte ein Angreifer beliebigen Code im Rahmen der jeweiligen Berechtigungen des angemeldeten Users ausführen.

Wie bereits erwähnt, stellen die MSXML Core Services auch ein Set an APIs für den Zugriff auf bestimmte COM-Objekte bereits, um Document Object Model-Aufgaben wie die Verwaltung von Namensräumen zu vereinfachen. Ein Angreifer kann dadurch Websites so präparieren, dass sie eine bösartige Webseite beherbergen, die besagte MSXML APIs aufruft. Dies wiederum führt zum Zugriff auf ein COM-Objekt im Arbeitsspeicher, das nicht gestartet wurde. Die Sicherheitslücke wird ausgenutzt, wenn ein Anwender diese präparierten Webseiten mit dem Internet Explorer öffnet. Anwender stoßen auf diese Seiten möglicherweise über anklickbare Links in einer speziell präparierten E-Mail-Nachricht oder Instant Message.

Trend Micro Deep Security-Kunden sollten die Regel 1005061 – Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889) anwenden, um den Zugriff auf Websites zu blocken, die solche bösartigen Webseiten beherbergen. Denn diese rufen in Frage kommende MSXML COM-Objekte auf, die ihrerseits auf angreifbare JavaScript-Methoden zugreifen. Darüber hinaus bietet Trend Micro Deep Security Schutz vor den Sicherheitslücken in MS12-037; die entsprechenden Informationen finden sich auf dieser Seite in der Threat Encyclopedia von Trend Micro. Sämtliche Regeln sind ebenfalls über das Intrusion Defense Firewall-Plugin in OfficeScan verfügbar.

Trend Micro prüft zurzeit Berichte über Angriffe, in denen die genannten Sicherheitslücken angeblich ausgenutzt werden. Der vorliegende Blogeintrag wird entsprechend dem Fortgang der Untersuchungen aktualisiert.

Update vom 14. Juni

Der Schädling JS_LOADER.HVN nutzt die Sicherheitslücke CVE-2012-1875 aus, die im MS12-037-Bulletin beschrieben ist und für das ein entsprechendes Patch vorliegt. Bei dem Schädling handelt es sich um ein bösartiges Script, das weitere Schadsoftware auf die befallenen Systeme herunterlädt. Trend Micro-Anwender sind vor diesem Schädling geschützt.

Neue Zero-Day-Lücke im Internet Explorer ermöglicht Angriffe

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Microsoft hat kürzlich ein Security Advisory zu einer Sicherheitslücke im Internet Explorer veröffentlicht. Diese Schwachstelle, die die ferngesteuerte Codeausführung ermöglicht, betrifft den Internet Explorer 6, 7 und 8 und wird durch eine nicht valide Flag-Referenz im Browser verursacht. Sie wurde ursprünglich auf einer einzigen Website gefunden, die mittlerweile vom Netz genommen ist.

Die Trend Micro-Researcher haben ein Sample des Exploits für besagte Sicherheitslücke analysiert und die Hauptseite, die für die Lieferung des Exploits zuständig ist, als HTML_BADEY.A identifiziert. Diese Seite lädt einen Backdoor (BKDR_BADEY.A) herunter, der wiederum verschiedene verschlüsselte Dateien herunterlädt. Die Dateien enthalten Befehle, die der Backdoor ausführt.

Alles deutet darauf hin, dass weitere Angriffe folgen werden. Die Trend Micro-Experten haben ein neues Hacking-Werkzeug (HKTL_ELECOM) entdeckt, mit dessen Hilfe Cyberkriminelle Seiten generieren können, die den JavaScript-Code enthalten, der die Sicherheitslücke ausnützt. Weil damit Angriffe einfacher werden, gehen die Experten davon aus, dass diese Attacken sich weiter verbreiten.

Noch ist ungewiss, wann Microsoft die Schwachstelle schließt, doch können sich Anwender selbst vor den Angriffen schützen. Die Beta-Version des Internet Explorer 9 ist von der Lücke nicht betroffen, so dass es ratsam ist, die eigenen Browser auf diese Version zu aktualisieren. Weitere Schritte, um sich vor der Gefahr zu schützen, beschreibt das Advisory, doch die meisten dieser Maßnahmen (wenn nicht alle) führen dazu, dass Websites nicht korrekt geladen werden.

Die von Microsoft empfohlenen Schritte zwingen zum Einsatz eines User-spezifischen CSS Style Sheet, das die Formatierung der Site stört. Außerdem müssen sie Scripting deaktivieren – und damit viele Webseitenfunktionen. Anwender können auch prüfen, ob Data Execution Prevention (DEP) aktiv ist, denn dadurch wird das Schadenpotenzial jedes Exploits reduziert. Auch dies beschreibt das Advisory.

Trend Micro-Anwender sind , über das Smart Protection Network gegen diese Gefahr geschützt. Zudem können Nutzer das kostenlose Addon Browser Guard für den Internet Explorer herunterladen. Dieses Tool schützt gegen IE-Schwachstellen.