FireEye meldet Zero-Day-Lücke in Internet Explorer

Sicherheitsforscher von FireEye haben auf einer manipulierten Website einen Exploit für eine Zero-Day-Lücke in Internet Explorer entdeckt. Die in den USA gehostete Website kann, wenn sie mit dem Microsoft-Browser angezeigt werden, per Drive-by-Download eine Schadsoftware einschleusen und ausführen. Nach Angaben des Unternehmens werden dabei zwei bisher unbekannte Schwachstellen ausgenutzt.

Die erste Anfälligkeit erlaubt es, den Zeitstempel der Windows-Bibliothek „msvcrt.dll“ auszulesen. Diese Information wird anschließend an den Server der Hacker übermittelt, um den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anzupassen. In dieser Datei wiederum steckt ein Speicherfehler, der eine Remotecodeausführung ermöglicht.

Der Speicherfehler ist FireEye zufolge auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 ausgerichtet. Zudem funktioniere der Exploit bisher nur mit englischsprachigen Versionen des Browsers. „Wir nehmen an, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden“, heißt es in einem Blogeintrag von FireEye. „Basierend auf unserer Analyse betrifft die Schwachstelle Internet Explorer 7, 8, 9 und 10.“

In einem zweiten Blogeintrag nennt das Unternehmen weitere Details zu dem Angriff, bei dem die Zero-Day-Lücke zum Einsatz gekommen ist. Bei der manipulierten Website soll es sich um eine „strategisch wichtige Site“ handeln, die „Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind“.

Der Schadcode werde zudem nicht sofort auf die Festplatte geschrieben, was einen forensischen Nachweis eines Angriffs erschwere, so FireEye weiter. Stattdessen werde der Code direkt in den Speicher eingeschleust. Diese Methode sei „außergewöhnlich versiert“ und nur schwer zu entdecken.

Eine Stellungnahme von Microsoft liegt bisher nicht vor. FireEye hat nach eigenen Angaben das Security-Team des Softwarekonzerns über seine Forschungsergebnisse informiert. Die Folgen eines Angriffs könnten mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) minimiert werden.

Microsoft selbst hatte in der vergangenen Woche auf eine Zero-Day-Lücke in Windows, Office und Lync hingewiesen, die für zielgerichtete Angriffe auf Organisationen in Südasien verwendet wird. Wann diese Anfälligkeit beseitigt wird, ist nicht bekannt. Microsofts November-Patchday bringt einer Vorankündigung zufolge keinen Fix für die Lücke.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago