Technische Analyse der Sicherheitslücke CVE-2012-1889

Originalartikel von Kim Chanwoo, Security Specialist

Im letzten Monat veröffentlichte Microsoft ein Tool, das die Sicherheitslücke (CVE-2012-1889) in den Microsoft XML Core Services angehen soll. Besagte Sicherheitslücke ermöglicht laut Microsoft Security Advisory aus der Ferne die Ausführung von Code, wenn ein Nutzer mit dem Internet Explorer eine speziell aufgesetzte Webseite aufruft. Ein solcher Angriff könnte große Auswirkungen haben, vor allem weil der Angriffscode mittlerweile öffentlich ist.

Trend Micro hat die Malware als HTML_EXPLOYT.AE identifiziert und eine umfangreiche Analyse durchgeführt. Der Schädling kann sich über verschiedene Wege in ein System einschleusen, sei es etwa über E-Mail oder eine bösartige Webseite. Die Malware versucht via Internet Explorer die Lücke CVE-2012-1889 auszunutzen. Es fällt auf, dass der Exploit keine Funktion besitzt, um DEP (Data Execution Prevention) zu umgehen. Falls also der Schädling in einem IE läuft, in dem DEP aktiv ist, so lässt er den IE abstürzen.

HTML_EXPLOYT.AE besitzt drei Hauptfunktionen, deren eine die Nutzung der Microsoft XML Core Services betrifft, die anderen beiden sind Heap Spray und die No ROP-Funktion.

Die Malware verwendet das Objektelement, indem sie Classid einsetzt, um die Microsoft XML Core Services zu missbrauchen. HTML_EXPLOYT.AE nutzt CVE-2012-1889 aus, indem der Schädling ein nicht initialisiertes Objekt referenziert.

Weitere Einzelheiten zu der Funktionalität liefert dieser Blogeintrag .

Heap Spray wiederum stellt eine Technik dar, die in Exploits die Ausführung von Zufallscode erleichert. Weitere Einzelheiten liefert der Blog.

No ROP (Return-Oriented-Programming) ist ebenfalls eine Technik in Schadprogrammen zur Ausnutzung einer Sicherheitslücke, vor der auch DEP nicht schützt.

Die Anwender von Trend Micro-Lösungen sind über das Smart Protection Network vor dieser Gefahr geschützt. Darüber hinaus verhindert Deep Security einen solchen Angriff über IDF rule 1005061- Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889).

Ein Gedanke zu „Technische Analyse der Sicherheitslücke CVE-2012-1889

  1. Pingback: Internet Explorer: Exploit nutzt Sicherheitslücke im XML Core aus – petanews

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*