Die erste Schwachstelle lässt das Auslesen des Zeitstempels der Windows-Bibliothek “msvcrt.dll” zu. Anschließend wird diese Information an den Server der Hacker gesendet, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. Ein Speicherfehler in der Datei ermöglicht eine Remotecodeausführung.
Auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ist der Speicherfehler FireEye zufolge ausgerichtet. Bisher funktioniere der Exploit nur mit englischsprachigen Versionen des Browsers. “Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden”, heißt es in einem Blog von FireEye. “Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.”
Weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke ausgenutzt wurde, nennt das Unternehmen in einem zweiten Blog. Es soll sich bei der manipulierten Website um eine “strategisch wichtige Site” handeln, die “Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind”.
FireEye zufolge sei ein forensischer Nachweis eines Angriffs erschwert, da der Schadcode nicht sofort auf die Festplatte geschrieben werde. Der Code werde stattdessen direkt in den Speicher eingeschleust. “Außergewöhnlich versiert” und nur schwer zu entdecken, sei diese Methode.
Bisher liegt eine Stellungnahme von Microsoft nicht vor. Über die Forschungsergebnisse hat FireEye nach eigenen Angaben das Security-Team des Softwarekonzerns informiert. Mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) könnten die Folgen eines Angriffs minimiert werden.
In der vergangenen Woche hatte Microsoft selbst auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen. Diese wird für zielgerichtete Angriffe auf Organisationen in Südasien verwendet. Noch ist nicht bekannt, wann diese Schwachstelle behoben wird. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.