Video: Zero-Day: Internet Explorer 11 Sandbox Bypass (Dezember 2024)
Angreifer nutzen ernsthafte Sicherheitslücken in Internet Explorer bei einem Wasserlochangriff aus, warnten Forscher der Sicherheitsfirma FireEye. Benutzer, die dazu verleitet werden, auf die infizierte Website zuzugreifen, werden bei einem klassischen Drive-by-Angriff mit Malware infiziert, die den Arbeitsspeicher des Computers infiziert.
Angreifer haben den bösartigen Code, der mindestens zwei Zero-Day-Fehler in Internet Explorer ausnutzt, in "eine strategisch wichtige Website eingebettet, die Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind", sagte FireEye in seiner Analyse in der vergangenen Woche. FireEye hat die Site nur identifiziert, wenn sie in den USA ansässig ist.
"Der Exploit nutzt eine neue Sicherheitsanfälligkeit in Bezug auf Informationslecks und eine Sicherheitsanfälligkeit in Bezug auf den Speicherzugriff im Internet, um die Codeausführung zu erreichen", schrieben FireEye-Forscher. "Es ist eine Sicherheitsanfälligkeit, die auf verschiedene Arten ausgenutzt wird."
Die Sicherheitsanfälligkeiten treten in Internet Explorer 7, 8, 9 und 10 auf, die unter Windows XP oder Windows 7 ausgeführt werden. Während der aktuelle Angriff auf die englische Version von Internet Explorer 7 und 8 abzielt, die sowohl unter Windows XP als auch unter Windows 8 ausgeführt wird, kann der Exploit auftreten geändert werden, um auf andere Versionen und Sprachen abzuzielen, sagte FireEye.
Außergewöhnlich raffiniertes APT
Laut FireEye verwendet diese APT-Kampagne (Advanced Persistent Threat) dieselben Befehls- und Kontrollserver wie bei den vorherigen APT-Angriffen auf japanische und chinesische Ziele, die als Operation DeputyDog bezeichnet werden. Diese APT ist ungewöhnlich raffiniert, da sie schädliche Nutzdaten verteilt, die ausschließlich im Arbeitsspeicher des Computers ausgeführt werden, wie FireEye herausgefunden hat. Da es sich nicht selbst auf die Festplatte schreibt, ist es viel schwieriger, forensische Beweise auf infizierten Computern zu erkennen oder zu finden.
"Durch die Nutzung strategischer Web-Kompromisse in Verbindung mit In-Memory-Payload-Delivery-Taktiken und mehreren verschachtelten Methoden zur Verschleierung hat sich diese Kampagne als außergewöhnlich erfolgreich und schwer fassbar erwiesen", sagte FireEye.
Da sich die plattenlose Malware jedoch vollständig im Arbeitsspeicher befindet, scheint ein einfacher Neustart des Computers die Infektion zu beseitigen. Angreifer scheinen sich keine Sorgen über die Dauerhaftigkeit zu machen, was darauf hindeutet, dass die Angreifer "zuversichtlich sind, dass ihre beabsichtigten Ziele einfach die gefährdete Website erneut besuchen und erneut infiziert werden", schrieben FireEye-Forscher.
Dies bedeutet auch, dass sich die Angreifer sehr schnell bewegen, da sie das Netzwerk durchlaufen müssen, um andere Ziele zu erreichen oder die Informationen zu finden, nach denen sie suchen, bevor der Benutzer den Computer neu startet und die Infektion entfernt. "Sobald der Angreifer eintritt und die Berechtigungen erweitert, kann er viele andere Methoden einsetzen, um die Persistenz zu gewährleisten", sagte Ken Westin, ein Sicherheitsforscher bei Tripwire.
Forscher des Sicherheitsunternehmens Triumfant haben eine Zunahme von plattenloser Malware gemeldet und bezeichnen diese Angriffe als Advanced Volatile Threats (AVT).
Nicht im Zusammenhang mit Office-Fehler
Die neueste Zero-Day-Sicherheitsanfälligkeit in Internet Explorer ist auf einen kritischen Fehler in Microsoft Office zurückzuführen, der ebenfalls in der vergangenen Woche gemeldet wurde. Der Fehler, wie Microsoft Windows und Office auf TIFF-Bilder zugreifen, hat nichts mit diesem Internet Explorer-Fehler zu tun. Während Angreifer den Office-Bug bereits ausnutzen, befinden sich die meisten Ziele derzeit im Nahen Osten und in Asien. Benutzer werden aufgefordert, FixIt zu installieren, wodurch die Möglichkeit des Computers zum Öffnen von Grafiken eingeschränkt wird, während sie auf einen permanenten Patch warten.
FireEye hat Microsoft über die Sicherheitsanfälligkeit informiert, Microsoft hat den Fehler jedoch noch nicht öffentlich kommentiert. Es ist äußerst unwahrscheinlich, dass dieser Fehler rechtzeitig für die Veröffentlichung des morgigen Patch Tuesday behoben wird.
Die neueste Version von Microsoft EMET, das Enhanced Mitigation Experience Toolkit, blockiert erfolgreich die Angriffe auf die IE-Sicherheitsanfälligkeiten sowie auf die Office-Sicherheitsanfälligkeiten. Unternehmen sollten die Installation von EMET in Betracht ziehen. Benutzer können auch ein Upgrade auf Version 11 von Internet Explorer in Betracht ziehen oder andere Browser als Internet Explorer verwenden, bis der Fehler behoben ist.
XP-Probleme
Diese neueste Wasserlochkampagne zeigt auch, wie Angreifer Windows XP-Benutzer angreifen. Microsoft hat Benutzer wiederholt daran erinnert, dass nach April 2014 keine Sicherheitsupdates für Windows XP mehr bereitgestellt werden. Benutzer sollten ein Upgrade auf neuere Versionen des Betriebssystems durchführen. Sicherheitsforscher glauben, dass viele Angreifer in Caches mit XP-Sicherheitslücken sitzen und dass es eine Welle von Angriffen auf Windows XP geben wird, nachdem Microsoft die Unterstützung für das veraltete Betriebssystem beendet hat.
"Zögern Sie nicht - aktualisieren Sie Windows XP so schnell wie möglich auf etwas anderes, wenn Sie Ihre Sicherheit schätzen", schrieb Graham Cluley, ein unabhängiger Sicherheitsforscher, in seinem Blog.
