Seit Freitag ist die Schwachstelle in Microsofts Internet Explorer (kurz IE) in aller Munde. Nun haben G Data-Experten die ersten Angriffe „in-the-wild“ gefunden, die nun auch ganz normalen Internetanwendern das Leben schwer machen können. Die G Data Sicherheitsprodukte identifizieren den Angriff als „Exploit.Comele.A“. Die Security-Experten informieren im Folgenden zur aktuellen Gefahr durch den Zero-Day-Exploit CVE-2010-0249.
Die Entwicklung seit Auftauchen der Zero-Day-Lücke
Ende 2009 fanden gezielte Attacken auf namhafte US-Firmen und Menschenrechtsorganisationen statt. Darunter befinden sich Google, Adobe, Yahoo, Symantec, Northrop Grumman und weitere. Als Quelle des Angriffs wird China vermutet. Am 14.01.2010 gibt Microsoft eine Sicherheitswarnung <http://www.microsoft.com/...> für seine Browser heraus und das Bundesamt für Sicherheit in der Informationstechnik (BSI) alarmiert einen Tag später <https://www.bsi.bund.de/...>. Die Medien reagieren mit zahllosen Online-News, Artikeln sowie Radio- und Fernsehbeiträgen.
Schon am 16.1. 2010 ist der Schadcode des Angriffs im Internet verfügbar. Von nun an steigt die Bedrohung, denn der Code kann von Hackern verändert werden und so die aktuelle Sicherheitslücke in Varianten ausnutzen. Nur wenige Stunden später, am 17.01.2010, wird die Veröffentlichung eines Metasploit-Moduls verkündet. Die G Data SecurityLabs entdecken den Exploit nur 2 Tage später erstmals in freier Wildbahn.
Fakten
Die Sicherheitslücke ist in den Programmen Internet Explorer 6, 7 und 8 vorhanden. Ausgenutzt wurde die Lücke allerdings bis jetzt nur über den IE6, da der ausgeführte Exploit auf diese Programmversion zugeschnitten war. Jedoch meldete der anerkannte Sicherheitsexperte Dino A. Dai Zovi am 17.01.2010 über Twitter, dass er einen funktionierenden Exploit für den IE7 erstellen konnte.
Die Version 8 des bekannten Browsers ist standardmäßig mit einer aktiven Data Execution Prevention (DEP) ausgestattet. Doch auch diese Maßnahme bietet im aktuellen Fall keinen 100%igen Schutz. Es existiert bereits ein bis jetzt unveröffentlichter Proof-of-Concept Exploit, der die DEP auch im IE8 umgehen kann.
Nach Einschätzungen der G Data Security-Experten ist es nur noch eine Frage der Zeit, bis auch die Versionen 7 und 8 des Internet Explorers in großem Stil angegriffen werden.
Was können Sie tun, um sich zu schützen?
Internetbenutzer sollten aktuell auf die Nutzung des Internet Explorers verzichten. Laden Sie sich einen alternativen Browser von den jeweiligen Herstellerseiten herunter (z.B. Mozilla Firefox, Google Chrome, Opera, etc.).
Falls Sie nicht auf den Einsatz des Internetexplorers verzichten können, sollten Sie zumindest folgende Schritte befolgen, bis Microsoft die Sicherheitslücke geschlossen hat. Eine Ankündigung ohne konkretes Datum für die Schließung der Lücke gibt es bereits <http://blogs.technet.com/...>.
Bedenken Sie jedoch, dass die Änderung der folgenden Sicherheitseinstellungen die Darstellung von Webseiten behindern kann und sie dadurch Ihren Browser nicht in vollem Umfang nutzen können. Diese Schritte bieten keinen vollständigen Schutz gegen den aktuellen Angriff:
• Schalten Sie Ihren Browser in den „geschützten Modus“
• Regeln Sie die Sicherheitsstufe des Browsers auf „Hoch“
• Verhindern Sie „Active Scripting“, indem Sie die Funktion ausschalten
• Schalten sie die Datenausführungsverhinderung (engl.: Data Execution Prevention, DEP) ein - Dazu können Sie das Fix it-Tool von Microsoft verwenden.
Benutzen Sie außerdem eine aktuelle Antiviren Software mit integriertem Wächter für den http-Verkehr und eine Firewall. Halten Sie sowohl dieses Schutzprogramm als auch ihr Betriebssystem und die weitere Software immer auf dem aktuellsten Stand.
Die Entwicklung seit Auftauchen der Zero-Day-Lücke
Ende 2009 fanden gezielte Attacken auf namhafte US-Firmen und Menschenrechtsorganisationen statt. Darunter befinden sich Google, Adobe, Yahoo, Symantec, Northrop Grumman und weitere. Als Quelle des Angriffs wird China vermutet. Am 14.01.2010 gibt Microsoft eine Sicherheitswarnung <http://www.microsoft.com/...> für seine Browser heraus und das Bundesamt für Sicherheit in der Informationstechnik (BSI) alarmiert einen Tag später <https://www.bsi.bund.de/...>. Die Medien reagieren mit zahllosen Online-News, Artikeln sowie Radio- und Fernsehbeiträgen.
Schon am 16.1. 2010 ist der Schadcode des Angriffs im Internet verfügbar. Von nun an steigt die Bedrohung, denn der Code kann von Hackern verändert werden und so die aktuelle Sicherheitslücke in Varianten ausnutzen. Nur wenige Stunden später, am 17.01.2010, wird die Veröffentlichung eines Metasploit-Moduls verkündet. Die G Data SecurityLabs entdecken den Exploit nur 2 Tage später erstmals in freier Wildbahn.
Fakten
Die Sicherheitslücke ist in den Programmen Internet Explorer 6, 7 und 8 vorhanden. Ausgenutzt wurde die Lücke allerdings bis jetzt nur über den IE6, da der ausgeführte Exploit auf diese Programmversion zugeschnitten war. Jedoch meldete der anerkannte Sicherheitsexperte Dino A. Dai Zovi am 17.01.2010 über Twitter, dass er einen funktionierenden Exploit für den IE7 erstellen konnte.
Die Version 8 des bekannten Browsers ist standardmäßig mit einer aktiven Data Execution Prevention (DEP) ausgestattet. Doch auch diese Maßnahme bietet im aktuellen Fall keinen 100%igen Schutz. Es existiert bereits ein bis jetzt unveröffentlichter Proof-of-Concept Exploit, der die DEP auch im IE8 umgehen kann.
Nach Einschätzungen der G Data Security-Experten ist es nur noch eine Frage der Zeit, bis auch die Versionen 7 und 8 des Internet Explorers in großem Stil angegriffen werden.
Was können Sie tun, um sich zu schützen?
Internetbenutzer sollten aktuell auf die Nutzung des Internet Explorers verzichten. Laden Sie sich einen alternativen Browser von den jeweiligen Herstellerseiten herunter (z.B. Mozilla Firefox, Google Chrome, Opera, etc.).
Falls Sie nicht auf den Einsatz des Internetexplorers verzichten können, sollten Sie zumindest folgende Schritte befolgen, bis Microsoft die Sicherheitslücke geschlossen hat. Eine Ankündigung ohne konkretes Datum für die Schließung der Lücke gibt es bereits <http://blogs.technet.com/...>.
Bedenken Sie jedoch, dass die Änderung der folgenden Sicherheitseinstellungen die Darstellung von Webseiten behindern kann und sie dadurch Ihren Browser nicht in vollem Umfang nutzen können. Diese Schritte bieten keinen vollständigen Schutz gegen den aktuellen Angriff:
• Schalten Sie Ihren Browser in den „geschützten Modus“
• Regeln Sie die Sicherheitsstufe des Browsers auf „Hoch“
• Verhindern Sie „Active Scripting“, indem Sie die Funktion ausschalten
• Schalten sie die Datenausführungsverhinderung (engl.: Data Execution Prevention, DEP) ein - Dazu können Sie das Fix it-Tool von Microsoft verwenden.
Benutzen Sie außerdem eine aktuelle Antiviren Software mit integriertem Wächter für den http-Verkehr und eine Firewall. Halten Sie sowohl dieses Schutzprogramm als auch ihr Betriebssystem und die weitere Software immer auf dem aktuellsten Stand.
