IE Zero-Day-Exploit in freier Wildbahn entdeckt

Eine Dating-Website, die dem beliebten Facebook-Design ähnelt, wurde präpariert, um Besucher zu infizieren, die den Microsoft Internet Explorer in den Versionen 6 bis 9 verwenden, der diese neu entdeckte Sicherheitslücke aufweist. Die Sicherheitslücke wird in CVE-2012-4969 beschrieben.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, den Microsoft-Browser zu verwenden, solange der Softwarehersteller kein Sicherheitsupdate herausgegeben hat, und stuft den Zero-Day als schwerwiegendes Problem ein.

Eine detaillierte Analyse des aktuellen Falls wird in Kürze folgen!
Bis jetzt lässt sich aber schon Folgendes sagen:

• Die ursprüngliche Site verwendet ein aufwändig verschleiertes JavaScript, das den Speicher für einen Angriff mittels Heap Spray vorbereitet, wenn der Besucher IE 8.x unter Windows verwendet.
  Der Heap Spray-Code wurde von G DATA als JS:Exploit.JS.Agent.AR erkannt.
  ⇒ Dieses Verfahren, mit der Verwendung von JavaScript, unterscheidet sich von dem ursprünglichen PoC. Das PoC griff auf Flash zurück, um den Speicher vorzubereiten, wie ein Kollege berichtete.
• Ein eingebettetes Iframe (URL auf der gleichen Domain) lädt den Zero-Day-Exploit.
• Der Exploit wurde von G DATA als JS:CVE-2012-4969-A [Expl] erkannt.
• Der Shellcode lädt vom gleichen Server ein Binärprogramm herunter und führt es aus.
• Diese Datei lädt von diesem Server ein weiteres Binärprogramm herunter und führt es ebenfalls aus.
• Bei dem zweiten Binärprogramm scheint es sich um einen normalen TOR-Client zu handeln, der sich mit einem versteckten TOR-Dienst verbindet, der als Command-and-Control-Server dient.

Microsoft hat schnell reagiert und innerhalb kürzester Zeit Anleitungen zur Verwendung entschärfender Kriterien, ein Fix-it sowie ein Update für die entsprechenden Internet Explorer-Versionen herausgegeben!

• Der Zero-Day-Exploit wurde von der Underground Community anerkannt und angepasst!
• Eine Flash-Datei ist nicht länger wesentlicher Bestandteil der Vorbereitung des Exploits.
• Die Qualität der Payloads deutet darauf hin, dass es sich nicht um die Arbeit von Script-Kiddies handelt.
• Wir vermuten, dass es nicht lange dauern wird, bis die Angreifer die Attacke in Exploit-Packs aufnehmen.

• Installieren Sie das am 21. September 2012 von Microsoft herausgegebene Update!
• Bleiben Sie misstrauisch – Klicken Sie nicht ohne Nachzudenken auf Links oder Dateianhänge von E-Mails und sozialen Netzwerken. Die Website oder die Dateien könnten bereits mit Schadcode infiziert sein. Wenn eine Nachricht eines Freundes merkwürdig erscheint, sollten die Nutzer erst prüfen, ob diese authentisch ist.
• Verwenden Sie eine aktuelle, umfassende Sicherheitslösung mit Virenscanner, Firewall, Web- und Echtzeitschutz. Ein Spam-Filter als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.

Wünschen Sie Informationen über die analysierte Webseite und Samples?

Kontakt: samplerequest [at] gdata.de