Die erste Schwachstelle lässt das Auslesen des Zeitstempels der Windows-Bibliothek “msvcrt.dll” zu. Anschließend wird diese Information an den Server der Hacker gesendet, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. Ein Speicherfehler in der Datei ermöglicht eine Remotecodeausführung.
Auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ist der Speicherfehler FireEye zufolge ausgerichtet. Bisher funktioniere der Exploit nur mit englischsprachigen Versionen des Browsers. “Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden”, heißt es in einem Blog von FireEye. “Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.”
Weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke ausgenutzt wurde, nennt das Unternehmen in einem zweiten Blog. Es soll sich bei der manipulierten Website um eine “strategisch wichtige Site” handeln, die “Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind”.
FireEye zufolge sei ein forensischer Nachweis eines Angriffs erschwert, da der Schadcode nicht sofort auf die Festplatte geschrieben werde. Der Code werde stattdessen direkt in den Speicher eingeschleust. “Außergewöhnlich versiert” und nur schwer zu entdecken, sei diese Methode.
Bisher liegt eine Stellungnahme von Microsoft nicht vor. Über die Forschungsergebnisse hat FireEye nach eigenen Angaben das Security-Team des Softwarekonzerns informiert. Mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) könnten die Folgen eines Angriffs minimiert werden.
In der vergangenen Woche hatte Microsoft selbst auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen. Diese wird für zielgerichtete Angriffe auf Organisationen in Südasien verwendet. Noch ist nicht bekannt, wann diese Schwachstelle behoben wird. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.