0-Day-Exploits

Attacken auf Explorer-Lücke häufen sich

15.12.2008 von Frank Ziemann
Die bis dato nicht gestopfte Sicherheitslücke im Internet Explorer wird auf einer wachsenden Anzahl von gehackten Websites ausgenutzt, um Schadprogramme einzuschleusen.

Die bis dato nicht gestopfte Sicherheitslücke im Internet Explorer (IE) wird mittlerweile auf einer wachsenden Anzahl von gehackten Websites ausgenutzt, um schädliche Programme einzuschleusen. Am Wochenende haben die Angriffe auf IE-Nutzer deutlich zugenommen. Microsoft berichtete bereits am Samstag über eine Zunahme der Meldungen um 50 Prozent gegenüber dem Vortag.

Die Angreifer nutzen eine Sicherheitslücke im Internet Explorer aus, die Microsoft bislang noch nicht durch ein Update geschlossen hat. Sie betrifft alle Versionen des Internet Explorers auf allen Windows-Versionen.

Im Blog des Microsoft Malware Protection Centers heißt es dazu, die Angriffe erfolgten über die Manipulation legitimer Websites. Als Beispiele werden eine inzwischen wieder bereinigte Suchmaschine in Taiwan sowie eine Porno-Website in Hongkong genannt. Die Rechner von Besuchern solcher Seiten, die den Internet Explorer benutzen, werden mit Trojanischen Pferden verseucht.

Im Malware Blog von Trend Micro nennt der Antivirushersteller mit Stand vom 13. Dezember eine Zahl von inzwischen etwa 6.000 kompromittierten Websites, die Exploit-Code für die IE-Lücke enthalten. Als Beispiele nennt Mayee Corpin besagte taiwanesische Suchmaschine sowie eine viel besuchte chinesische Website, die Sportartikel anbietet.

Das Internet Storm Center meldet ebenso wie Trend Micro, dass zur Manipulation der Websites SQL-Injection-Angriffe dienen, die auch früher schon für solche Zwecke eingesetzt wurden. Sie nutzen Schwachstellen in den Content-Management-Systemen der Web-Server aus, um präparierten HTML-Code einzuschleusen. Darin ist Javascript-Code enthalten, der vom Besucher unbemerkt den schädlichen Code von einen Web-Server der Angreifer lädt. Er schleust zum Beispiel eine "win.exe" von einem in den USA stehenden Server ein - ein Trojanisches Pferd, das Passwörter für Online-Spiele ausspionieren soll. AntiVir, Avast und Ikarus melden den Schädling als "Dialer", Kaspersky nennt ihn "Trojan-GameThief.Win32.Magania.anjc".

Microsoft hat seine Sicherheitsempfehlung 961051 mittlerweile mehrfach überarbeitet und um weitere Hinweise ergänzt, zuletzt am 13. Dezember. Wann es ein Sicherheits-Update geben wird, das die Sicherheitslücke im Internet Explorer schließt, lässt Microsoft hingegen weiterhin völlig offen.

Bis dahin können sich Nutzer des Internet Explorers, die nicht auf alternative Browser wie Firefox oder Opera ausweichen wollen oder können, dadurch schützen, dass sie die Systembibliothek oledb32.dll deregistrieren (Administratorrechte erforderlich). Dazu genügt für alle 32-Bit-Versionen von Windows dieser Befehl auf der Kommandozeile (Eingabeaufforderung), einschließlich der Anführungszeichen:

regsvr32.exe /u "%CommonProgramFiles%\System\Ole DB\oledb32.dll"

Für 64-Bit-Versionen von Windows kommt ein zweiter Befehl hinzu:

regsvr32.exe /u "%CommonProgramFiles(x86)%\System\Ole DB\oledb32.dll"

Sobald ein Sicherheits-Update von Microsoft verfügbar und installiert ist, können Sie diese Befehlszeilen auch benutzen, um die DLL wieder zu registrieren - Sie müssen lediglich den Parameter "/u" (unregister) weg lassen. Antivirus-Software und Personal Firewalls bieten in der Regel keinen ausreichenden Schutz vor solchen Angriffen. (PC-Welt) (wl)