Gezielte Attacken auf neues Leck im Internet Explorer

Martin Schindler,

Microsoft warnt vor gezielten Attacken auf ein neues Leck im Internet Explorer. Betroffen sind die Versionen 6, 7 und 8.

Die E-Mail der Hacker gibt vor, im Zusammenhang mit einer Hotel-Reservierung zu stehen. Über den Link wird das Opfer auf eine Seite gelockt, wo Schad-Code auf ein verwundbares System aufgespielt wird. Quelle: Symantec
Die E-Mail der Hacker gibt vor, im Zusammenhang mit einer Hotel-Reservierung zu stehen. Über den Link wird das Opfer auf eine Seite gelockt, wo Schad-Code auf ein verwundbares System aufgespielt wird. Quelle: Symantec

Dieses Leck werde laut Microsoft derzeit vor allem in gezielten Attacken verwendet. Die Opfer bekommen Mails, in denen sie auf eine Web-Seite gelotst werden. Auf diesen Seiten wird dann der Schad-Code auf die angegriffenen Rechner aufgespielt.

Derzeit hält sich Microsoft mit weiteren Details zurück. Jerry Bryant, Group-Manager Response Communications bei Microsoft wollte jedoch gegenüber CNET nicht erklären, auf welcher Seite dieser Code gehostet wird. Ob eine bestimmte Branche oder eine bestimmte Art von Unternehmen betroffen ist, teilte Bryant ebenfalls nicht mit.

Der Code kann das Leck im Internet Explorer der Versionen 6 und 7 ausnutzen. Auch die Version 8 sei betroffen. Ist IE 8 allerdings mit den Voreinstellungen installiert, verhindert die Data Execution Prevention (DEP) das Ausführen des Schadcodes. Die Beta des IE 9 sei hingegen nicht betroffen.

Microsoft hat jetzt mit einem Advisory einen Workaround veröffentlicht, in dem unter anderem DEP aktiviert wird. Außerdem werden E-Mails im Textmodus gelesen, ActiveX-Steuerungen und Active Scripting werden deaktiviert, die Sicherheitszone wird erhöht. In den nächsten Stunden will Microsoft noch ein Tool nachschieben, das die Implementierung dieser Workarounds vereinfacht.

Forscher des Sicherheitsanbieters Symantec berichten in einem Blog, wie Hacker an eine bestimmte Gruppe von Personen in bestimmten Organisationen Mails schicken. In dieser Mail sei auch ein Link auf eine Seite einer ansonsten legitimen Domain zu finden.

Auf dieser Seite life ein Script, das die verwendete Version des Browers identifizierte. Bei den Versionen 6 und 7 wird das System infiziert. Bei anderen Versionen erscheint eine leere Seite. Bei dem Leck kann beliebiger Code auf dem System ausgeführt werden, ohne dass der Nutzer das bemerkt.

Der Angriff richte sich offenbar nicht an eine bestimmte Branche, heißt es von Symantec. Wie viele Systeme, oder welche Seite den Exploit gehostet hatte, teilte Symantec jedoch nicht mit. Die Attacken wurden jedoch weltweit durchgeführt. Offenbar sollte mit disem Exploit ein Backdoor-Trojaner installiert werden, über den dann weiterer Code nachgeladen werden sollte.

Der Trojaner startet sich zusammen mit dem Rechner und ruft einen Service mit dem Namen “NetWare Workstation” auf. Dieser Dienst sammelt verschlüsselte .gif-Dateien und steuert den Trojaner. Offenbar hat der Angreifer seine Kommandos manuell eingeben. Symantec hat diese Attacke “Backdoor.Pirpi.” getauft.

Symantec konnte einen Screen-Shot des Netzwerk-Traffics des Schädlings anfertigen. Scheinbar wurden der Trojaner teilweise manuell gesteuert. Quelle: Symantec.
Symantec konnte einen Screen-Shot des Netzwerk-Traffics des Schädlings anfertigen. Scheinbar wurden der Trojaner teilweise manuell gesteuert. Quelle: Symantec.