Internet Explorer: Cisco nennt Details zur Zero-Day-Lücke

BrowserSicherheitWorkspace
Cisco Logo (Grafik: Cisco)

Cisco hat detaillierte Informationen zu der in der vergangenen Woche gepatchten Sicherheitslücke im Internet Explorer vorgelegt. Sie stammen von Ciscos Intrusion-Prevention-System Snort. Demzufolge starteten die Angriffe am 24. April mit Phishing-Attacken. Hierbei wurde versucht, Anwender auf eine mit Schadcode präparierte Webseite zu locken.

Offenbar führte beid r jüngsten Zero-Day-Lücke im Internet Explorer eine auf einer manipulierten Website integrierte Flash-Datei einen sogenannten Heap Spray durch.

Das Unternehmen hat in dem Zusammenhang vier genutzte Betreffzeilen erkannt: “Welcome to Projectmates!”, “Refinance Report”, “What’s ahead for Senior Care M&A” und “UPDATED GALLERY for 2014 Calendar Submissions”. Diese lockten Nutzer auf vier manipulierte Websites: profile.sweeneyphotos.com, web.neonbilisim.com, web.usamultimeters.com sowie inform.bedircati.com.

Wie die Cisco-Forscher mitteilen, war der bösartige JavaScript-Code auf diesen Webseiten nur unwesentlich verschleiert. Er beinhaltete eine Funktion namens oil(). Diese führte den JavaScript-Quelltext jedoch nicht aus, sondern aktivierte stattdessen eine Flash-Datei (SWF) mit integriertem ActionScript. Dieser Code hatte laut Cisco primär die Aufgabe, “den Heap einzusprühen“, sprich große Speicherbereiche zuzuweisen und mit spezifischen Werten zu füllen. Dabei handelte es sich größtenteils um Leeranweisungen. Doch auch der Shellcode wird im Speicher abgelegt. Er übernimmt die Kontrolle, nachdem die Lücke ausgenutzt wurde.

Hat die SWF-Datei den Heap entsprechend präpariert, übergibt sie via oil() einen spezifischen String als Parameter an die jeweilige Website. Die oil()-Funktion ruft mit dem übergebenen String wiederum eval() auf. Dies führt aufgrund der Zero-Day-Lücke dann zu einem Absturz, der schließlich dafür sorgt, dass der Shellcode ausgeführt wird.

Cisco verweist darauf, dass Flash-Angriffe in letzter Zeit vermehrt Heap Spray nutzen. Es sei denkbar, dass die Angreifer auf das Flash-Objekt ausweichen mussten, da es ihnen schwerfiel, aus dem Internet Explorer heraus auf die Lücke zuzugreifen.

Am 1. Mai hatte Microsoft einen außerplanmäßigen Sicherheitspatch für seinen Browser Internet Explorer herausgebracht. Damit schloss das Unternehmen die seit einigen Tagen bekannte Lücke in den Versionen 6, 7, 8, 9, 10 und 11. Das Update ist sogar für Windows XP verfügbar. Folglich vollzieht Microsoft einen Kurswechsel, dend den Support für das 2001 eingeführte Betriebssystem hatte es am 8. April eigentlich endgültig eingestellt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen