Die erste Schwachstelle lässt das Auslesen des Zeitstempels der Windows-Bibliothek “msvcrt.dll” zu. Anschließend wird diese Information an den Server der Hacker gesendet, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. Ein Speicherfehler in der Datei ermöglicht eine Remotecodeausführung.
Auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ist der Speicherfehler FireEye zufolge ausgerichtet. Bisher funktioniere der Exploit nur mit englischsprachigen Versionen des Browsers. “Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden”, heißt es in einem Blog von FireEye. “Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.”
Weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke ausgenutzt wurde, nennt das Unternehmen in einem zweiten Blog. Es soll sich bei der manipulierten Website um eine “strategisch wichtige Site” handeln, die “Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind”.
FireEye zufolge sei ein forensischer Nachweis eines Angriffs erschwert, da der Schadcode nicht sofort auf die Festplatte geschrieben werde. Der Code werde stattdessen direkt in den Speicher eingeschleust. “Außergewöhnlich versiert” und nur schwer zu entdecken, sei diese Methode.
Bisher liegt eine Stellungnahme von Microsoft nicht vor. Über die Forschungsergebnisse hat FireEye nach eigenen Angaben das Security-Team des Softwarekonzerns informiert. Mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) könnten die Folgen eines Angriffs minimiert werden.
In der vergangenen Woche hatte Microsoft selbst auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen. Diese wird für zielgerichtete Angriffe auf Organisationen in Südasien verwendet. Noch ist nicht bekannt, wann diese Schwachstelle behoben wird. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.
Mit gemeinsamen Angeboten in den Bereichen Vermarktung, KI, Content und Cloud will man "unabhängigen Journalismus…
Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter…
Das Europäische Forschungsprojekt XMANAI hat den Blick in die KI geöffnet und macht ihre Entscheidungsprozesse…
Hacker nutzen LLM weniger als visionäre Alleskönner-Technologien, sondern als effiziente Werkzeuge zum Verbessern von Standardangriffen,…
Der "ARIS AI Companion" soll alle Mitarbeitenden darin befähigen, Prozesse zu analysieren und Ineffizienzen aufzudecken.