Schlagwort-Archive: Trend Micro

Trend Micro schützt vor aktiven Exploits der jüngsten Sicherheitslücken im Internet Explorer

Originalartikel von Pavithra Hanchagaiah (Senior Security Researcher)

Neben dem regulären monatlichen Patch-Release, das Microsoft gestern veröffentlichte und eine relativ große Anzahl an Sicherheitslücken im Internet Explorer (IE) schließt (MS12-037), berichtete Microsoft über eine weitere IE-Sicherheitslücke, zu der es allerdings noch keinen Patch gibt. Das MS Security Advisory (2719165) identifizierte die Microsoft XML (MSXML) Core Services als die verwundbare Stelle. MSXML bietet eine Reihe von W3C-konformen XML APIs, die es Anwendern ermöglichen, Jscript, VBScript und Microsoft-Entwicklungswerkzeuge zur Erstellung von Anwendungen auf Basis des XML 1.0-Standards zu nutzen.

Die Sicherheitslücke in den Microsoft XML Core Services ermöglicht das Ausführen von Code durch Dritte über den Zugriff auf ein nicht initialisiertes COM-Objekt im Arbeitsspeicher. Wenn die Lücke erfolgreich ausgenutzt wird, könnte ein Angreifer beliebigen Code im Rahmen der jeweiligen Berechtigungen des angemeldeten Users ausführen.

Wie bereits erwähnt, stellen die MSXML Core Services auch ein Set an APIs für den Zugriff auf bestimmte COM-Objekte bereits, um Document Object Model-Aufgaben wie die Verwaltung von Namensräumen zu vereinfachen. Ein Angreifer kann dadurch Websites so präparieren, dass sie eine bösartige Webseite beherbergen, die besagte MSXML APIs aufruft. Dies wiederum führt zum Zugriff auf ein COM-Objekt im Arbeitsspeicher, das nicht gestartet wurde. Die Sicherheitslücke wird ausgenutzt, wenn ein Anwender diese präparierten Webseiten mit dem Internet Explorer öffnet. Anwender stoßen auf diese Seiten möglicherweise über anklickbare Links in einer speziell präparierten E-Mail-Nachricht oder Instant Message.

Trend Micro Deep Security-Kunden sollten die Regel 1005061 – Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889) anwenden, um den Zugriff auf Websites zu blocken, die solche bösartigen Webseiten beherbergen. Denn diese rufen in Frage kommende MSXML COM-Objekte auf, die ihrerseits auf angreifbare JavaScript-Methoden zugreifen. Darüber hinaus bietet Trend Micro Deep Security Schutz vor den Sicherheitslücken in MS12-037; die entsprechenden Informationen finden sich auf dieser Seite in der Threat Encyclopedia von Trend Micro. Sämtliche Regeln sind ebenfalls über das Intrusion Defense Firewall-Plugin in OfficeScan verfügbar.

Trend Micro prüft zurzeit Berichte über Angriffe, in denen die genannten Sicherheitslücken angeblich ausgenutzt werden. Der vorliegende Blogeintrag wird entsprechend dem Fortgang der Untersuchungen aktualisiert.

Update vom 14. Juni

Der Schädling JS_LOADER.HVN nutzt die Sicherheitslücke CVE-2012-1875 aus, die im MS12-037-Bulletin beschrieben ist und für das ein entsprechendes Patch vorliegt. Bei dem Schädling handelt es sich um ein bösartiges Script, das weitere Schadsoftware auf die befallenen Systeme herunterlädt. Trend Micro-Anwender sind vor diesem Schädling geschützt.

Microsoft Security Advisory 2718704

Originalartikel auf dem Trend Micro Malware Blog

Letzten Sonntag hat Microsoft das Security Advisory 2718704 veröffentlicht. Darin wird ein Update angekündigt, das zwei von Microsoft herausgegebene Certificate Authority (CA)-Subzertifikate in allen aktuell unterstützten Windows-Versionen für ungültig erklärt. Es handelt sich um die Subzertifikate

  • Microsoft Enforced Licensing Intermediate PCA (2 Zertifikate)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Wie in Microsofts Advisory dargestellt, hat die Analyse der Flame-Attacke ergeben, dass diese Zertifikate dazu missbraucht wurden, unautorisierte digitale Zertifikate auszustellen. Diese wurden von den Angreifern dazu benutzt, Komponenten der Flame-Attacke so aussehen zu lassen, als ob sie von Microsoft signiert wären. Die Schädlingskomponenten hatten folglich fälschlicherweise den Anschein, Microsoft-Code zu sein, und spielten bei der Infektion der Systeme durch einen Man-in-the-middle (MitM)-Angriff gegen den Windows Update-Mechanismus von Microsoft eine Rolle.

Während Trend Micro und andere erklärt haben, dass die Flame-Attacke begrenzt ist und keine umfassende Bedrohung für Kunden darstellt, handelt es sich bei der Fähigkeit, bösartigen Code mit diesen Zertifikaten zu signieren und dadurch Sicherheitsprüfungen zu umgehen, durchaus um eine potenzielle, umfassende Bedrohung. Zwar gibt es im Augenblick keine Anzeichen dafür, dass diese Zertifikate in anderen Angriffen benutzt wurden, um Schadsoftware den Anstrich der Legitimität zu verleihen. Allerdings besteht die sehr reale Möglichkeit, dass dies in Zukunft der Fall sein könnte.

Wir fordern daher alle Kunden eindringlich auf, die Sicherheitsaktualisierungen im Zusammenhang mit dem Microsoft Security Advisory 2718704 so bald wie möglich zu installieren. Dadurch werden die beiden Zertifikate ungültig, jeglicher Code, der mit ihnen signiert wurde und möglicherweise Schadsoftware darstellt, wird als nicht vertrauenswürdig gekennzeichnet.

Anfang dieser Woche hat Microsoft zudem auf seinem Blog erklärt, demnächst ein weiteres Update zu veröffentlichen und damit den Windows Update-Mechanismus noch stärker gegen Man-in-the-middle-Angriffe abzusichern. Wir fordern daher alle Kunden eindringlich auf, sich bereits jetzt auf die Veröffentlichung dieser Aktualisierung vorzubereiten, um sie dann so schnell wie möglich einzuspielen.

Auch wenn noch keine breit angelegten Angriffe mittels betrügerischer Zertifikate oder Man-in-the-middle-Angriffe gegen Windows Update beobachtet wurden, sei noch einmal auf deren großes Gefahrenpotenzial hingewiesen. Kunden sollten daher unbedingt das aktuelle Update so schnell wie möglich sowie das künftige ab Verfügbarkeit implementieren.

Wie berichtet, sind Trend Micro-Kunden gegen den Flame-Schädling geschützt. Zusätzlich zur Installation der Microsoft-Sicherheitsaktualisierungen sollten Kunden sicherstellen, dass ihre Trend Micro-Produkte auf dem neuesten Stand hinsichtlich Updates und Signaturen sind. Sie leisten dadurch zu ihrem eigenen Nutzen einen wertvollen Beitrag, um den größtmöglichen Schutz gegen jegliche Versuche, diese Angriffsmechanismen einzusetzen, zu gewährleisten.

Weitere Informationen folgen nach Verfügbarkeit.