Trend Micro schützt vor aktiven Exploits der jüngsten Sicherheitslücken im Internet Explorer

Originalartikel von Pavithra Hanchagaiah (Senior Security Researcher)

Neben dem regulären monatlichen Patch-Release, das Microsoft gestern veröffentlichte und eine relativ große Anzahl an Sicherheitslücken im Internet Explorer (IE) schließt (MS12-037), berichtete Microsoft über eine weitere IE-Sicherheitslücke, zu der es allerdings noch keinen Patch gibt. Das MS Security Advisory (2719165) identifizierte die Microsoft XML (MSXML) Core Services als die verwundbare Stelle. MSXML bietet eine Reihe von W3C-konformen XML APIs, die es Anwendern ermöglichen, Jscript, VBScript und Microsoft-Entwicklungswerkzeuge zur Erstellung von Anwendungen auf Basis des XML 1.0-Standards zu nutzen.

Die Sicherheitslücke in den Microsoft XML Core Services ermöglicht das Ausführen von Code durch Dritte über den Zugriff auf ein nicht initialisiertes COM-Objekt im Arbeitsspeicher. Wenn die Lücke erfolgreich ausgenutzt wird, könnte ein Angreifer beliebigen Code im Rahmen der jeweiligen Berechtigungen des angemeldeten Users ausführen.

Wie bereits erwähnt, stellen die MSXML Core Services auch ein Set an APIs für den Zugriff auf bestimmte COM-Objekte bereits, um Document Object Model-Aufgaben wie die Verwaltung von Namensräumen zu vereinfachen. Ein Angreifer kann dadurch Websites so präparieren, dass sie eine bösartige Webseite beherbergen, die besagte MSXML APIs aufruft. Dies wiederum führt zum Zugriff auf ein COM-Objekt im Arbeitsspeicher, das nicht gestartet wurde. Die Sicherheitslücke wird ausgenutzt, wenn ein Anwender diese präparierten Webseiten mit dem Internet Explorer öffnet. Anwender stoßen auf diese Seiten möglicherweise über anklickbare Links in einer speziell präparierten E-Mail-Nachricht oder Instant Message.

Trend Micro Deep Security-Kunden sollten die Regel 1005061 – Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889) anwenden, um den Zugriff auf Websites zu blocken, die solche bösartigen Webseiten beherbergen. Denn diese rufen in Frage kommende MSXML COM-Objekte auf, die ihrerseits auf angreifbare JavaScript-Methoden zugreifen. Darüber hinaus bietet Trend Micro Deep Security Schutz vor den Sicherheitslücken in MS12-037; die entsprechenden Informationen finden sich auf dieser Seite in der Threat Encyclopedia von Trend Micro. Sämtliche Regeln sind ebenfalls über das Intrusion Defense Firewall-Plugin in OfficeScan verfügbar.

Trend Micro prüft zurzeit Berichte über Angriffe, in denen die genannten Sicherheitslücken angeblich ausgenutzt werden. Der vorliegende Blogeintrag wird entsprechend dem Fortgang der Untersuchungen aktualisiert.

Update vom 14. Juni

Der Schädling JS_LOADER.HVN nutzt die Sicherheitslücke CVE-2012-1875 aus, die im MS12-037-Bulletin beschrieben ist und für das ein entsprechendes Patch vorliegt. Bei dem Schädling handelt es sich um ein bösartiges Script, das weitere Schadsoftware auf die befallenen Systeme herunterlädt. Trend Micro-Anwender sind vor diesem Schädling geschützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*