Thema: Alte DoS-Schwachstelle im Internet Explorer wird zum Riesenloch

[SiLæncer]

Der Month of the Browser Bug (MoBB) hallt auch zwei Monate nach seinem Ende noch kräftig nach. Für eine der im Juli entdeckten DoS-Schwachstellen im Internet Explorer hat H.D. Moore nun einen Exploit veröffentlicht, der beliebigen Code in ein vollständig gepatchtes Windows XP SP2 schleusen und starten kann. Bei Tests der heise-Security-Redaktion mit dem Metasploit-Modul funktionierte der Exploit zwar nicht bei jedem Versuch, aber er funktionierte.

Der Fehler beruht auf einem Buffer Overflow und steckt im ActiveX-Control WebViewFolderIcon (webvw.dll) in der Funktion setclice. Ursprünglich ging man vor zwei Monaten zwar davon aus, dass der Fehler nur zum Absturz des Internet Explorer führt. Allerdings vermutete H.D. Moore bereits damals, dass sich diese Lücke auch für "Remote Code Execution" ausnutzen lässt – diesen Beweis hat er nun erbracht. Von wie vielen der insgesamt 25 während des MoBB im Internet Explorer gefundenen DoS-Lücken eventuell doch noch größere Gefahr droht, bleibt unklar.

Zwei Tage nach dem außerplanmäßigen Patch für die VML-Lücke verbleiben nun immer noch zwei ungepatchte Lücken in Microsofts Browser. Bei der schon von Crimeware Gangs ausgenutzten Lücke im DirectAnimation-Control schlagen die Redmonder in einem Fehlerbericht vor, das entsprechende Kill-Bit zu setzen, um es mangels verfügbarem Patch zu deaktivieren. Für die Webview-Lücke gibt es leider noch keinen Fehlerbericht von Microsoft. Das US-CERT empfiehlt Anwendern in seiner Vulnerability Note, das Kill-Bit für das Webview-Control ebenfalls zu setzen. Die CLSID des Controls lautet {844F4806-E8A8-11d2-9652-00C04FC30871}. Anwender, die dieses Control nicht benötigen, können folgenden Text etwa in der Datei webview_deakt.reg speichern:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}] "Compatibility Flags"=dword:00000400

Ein Doppelklick fügt den Eintrag der Registry hinzu. Unerfahrende Anwender sollten von diesem Workaround allerdings Abstand nehmen und lieber ActiveX im Internet Explorer komplett deaktivieren oder auf einen anderen Browser wie Firefox oder Opera ausweichen.

Siehe dazu auch:

    * Microsoft Windows WebViewFolderIcon ActiveX integer overflow, Warnung des US-CERT
    * MSIE SetSlice Vuln, Blogeintrag von RioSec

Quelle und Links : http://www.heise.de/security/news/meldung/78793

[SiLæncer]

Berichten zufolge genügt es nicht, nur das Kill-Bit für die genannte CLSID zu setzen, um das Conrol zu deaktivieren. Zusätzlich muss ein weiteres Kill-Bit für die CLSID {e5df9d10-3b52-11d1-83e8-00a0c90dc849} gesetzt werden.

Quelle : www.heise.de

[Warpi]

Das sagen die Leute immer Windoze ist einfacher als Linux ...

Was ein "Gebastel" ... 


Das US-CERT empfiehlt Anwendern in seiner Vulnerability Note,
das Kill-Bit für das Webview-Control ebenfalls zu setzen.
Die CLSID des Controls lautet 844F4806-E8A8-11d2-9652-00C04FC30871}. Anwender, die dieses Control
nicht benötigen, können folgenden Text etwa in der Datei webview_deakt.reg speichern:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}] "Compatibility
Flags"=dword:00000400

[Jürgen]

...oder einfach (als Standard) einen anderen Browser (und Mailer) benutzen 
Das beseitigt bzw. umgeht zumindest die meisten Sicherheitslücken.

[Warpi]

Ja, Thunderbird , Firefox oder Opera. Die gibt es aber auch für Linux,
Mittlerweile bin ich im Netz nur noch mit Debian / Linux unterwegs.
Mal sehen wie lange man da noch sicher ist ...

[SiLæncer]

In einem Sicherheitsbericht bestätigt Microsoft das gestern gemeldete Sicherheitsproblem im Zusammenhang mit dem ActiveX-Control WebViewFolderIcon. Speziell präparierte Web-Seiten könnten darüber in die Windows Systeme von Nutzern des Internet Explorer beispielsweise Spyware oder Keylogger einschleusen.

Allerdings sei die eigentliche Ursache des Problems ein Fehler der Windows Shell, der sich über Webview ausnutzen lasse. Einen Patch avisieren die Redmonder für den nächsten Patchday am 10.10. Bis dahin sollten sich Anwender mit Workarounds behelfen, wie dem bereits vom US-CERT empfohlenen Setzen des Kill-Bits, das die Ausführung des Controls im Internet Explorer unterbindet. Alternativ könne man auch das Ausführen von ActiveX-Controls auf "Nachfragen" oder die Sicherheitsstufe für die Internet-Zone auf hoch setzen. Der c't-Browsercheck hilft bei der sicheren Konfiguration des Internet Explorer. Dass die Verwendung eines anderen Browsers ebenfalls Schutz gegen Lücken in ActiveX-Controls bietet, erwähnt das Advisory nicht.

Angesichts von nunmehr zwei kritischen IE-Lücken -- auch für das DirectAnimation-Loch gibt es noch keinen Patch -- ist in der Tat große Vorsicht angebracht. Für die WebView-Lücke existiert sogar ein Metasploit-Modul, mit dem sich sehr flexible Exploits bauen lassen, die von Antiviren-Software nur sehr schwer zu entdecken sind. Es ist damit zu rechnen, dass die kriminellen Banden sehr schnell dazu übergehen werden, Web-Sites nun auch mit Exploits für diese Lücke zu präparieren.

Siehe dazu auch:

    * Vulnerability in Windows Shell Could Allow Remote Code Execution, Sicherheitsnotiz von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/78882

[Jürgen]

Ich weiss nur noch eine einzige halbwegs sichere und nutzbringende (weil zeitsparende) Anwendung für den IE, nämlich für Windows Update insbesondere auf älteren Windows-Versionen.
Dafür ist's nicht nötig, den IE als Standard-Browser zu haben, zudem müssen lediglich die entsprechenden Seiten in die sichere Zone übertragen werden, alle anderen Zonen sollten absolut restriktiv eingestellt werden.
Das ist insbesondere deswegen nötig, weil der IE zahlreiche Dateitypen zugewiesen hat, die man nur sehr sporadisch antrifft, die ihn aber ungewollt öffnen würden. Ein mögliches Beispiel ist XML, ein anders MHT.

[SiLæncer]

Das Internet Storm Center hat Alarmstufe Gelb ausgerufen, weil der kürzlich veröffentlichte Exploit in großem Stil ausgenutzt wird, um Spyware, Rootkits und Keylogger zu verbreiten. Dies geschieht nicht nur auf zwielichtigen Sites, auch offenbar harmlose Web-Angebote werden durch eingebettete, unsichtbare IFrames zu Malware-Schleudern.

Wegen eines Fehlers in der Windows Shell kann eine Webseite durch einen Aufruf des ActiveX-Controls WebViewFolderIcon Code einschleusen und ausführen, wenn sie im Internet Explorer geöffnet wird. Da es von Microsoft noch keinen Patch gibt, kann man sich derzeit nur schützen, indem man die die Ausführung des ActiveX-Controls verhindert. Das geht auf mehrere Arten:

    * Andere Browser wie Firefox oder Opera führen keine ActiveX-Controls aus.
    * In der Sicherheitstufe "Hoch" führt Internet Explorer ebenfalls keine ActiveX-Controls aus.
    * Man kann im Internet Explorer das Ausführen von ActiveX-Controls deaktivieren.
    * So genannte Killbits in der Windows Registry verhindern den Aufruf des betroffenen Controls WebViewFolderIcon im Internet Explorer. Microsoft beschreibt dies in seiner Sicherheitsnotiz. Das Internet Storm Center stellt kleine Programme bereit, die die Einstellung vornehmen. Netzwerk-Admins können dies auch über eine Gruppenrichtlinie erledigen. Diese Maßnahme sollte man vor dem Einspielen des für den 10.10. angekündigten Patch rückgängig machen.

Neben dem Webview-Problem werden derzeit zwei weitere Zero-Day-Lücken aktiv ausgenutzt, für die es noch keinen Patch gibt: eine im ActiveX-Control für DirectAnimation und eine in Powerpoint. Laut Lennart Wistrand im Blog des Microsoft Security Response Centers geschieht dies jedoch in deutlich geringerem Umfang.

Quelle und Links : http://www.heise.de/security/news/meldung/78905

[SiLæncer]

Auch für die mittlerweile massiv ausgenutzte WebView- respektive setSlice-Lücke im Internet Explorer gibt es nun erste inoffizielle Patches und Fixes, die die Lücke temporär schließen sollen, bis Microsoft ein Update an einem der kommenden Patchdays herausgibt. Eine interessante Lösung stellt dabei der Hersteller Determina zum Download bereit. Diese beseitigt den Fehler in der betroffenen Bibliothek webvw.dll nicht direkt in der Datei auf der Festplatte, sondern nur in der Instanz, die gerade im Speicher benutzt wird. Ein Test, ob der Patch wirksam ist, bietet Determina auf seinen Seiten gleich mit an.

Anwender sollten allerdings bedenken, dass Patches von Drittherstellern zwar meist getestet sind, nicht jedoch für sämtliche Umgebungen. Die Installation kann also Probleme verursachen. Leider zeigten aber die Probleme mit einigen Microsoft-Updates der letzten Patchdays, dass es trotz umfassender Tests zu Problemen und Datenverlusten kommen kann.

Alternativ zum Patch von Determina könnnen Anwender den inoffiziellen Fix des Zero Day Emergency Response Teams (ZERT) installieren. Dieser behebt den eigentlichen Fehler nicht, sondern deaktiviert nur das betroffene ActiveX-Control. Dazu nutzt das ZERT den neu vorgestellten ZProtector, ein Framework, dass Windows 95 bis Windows Server 2003 vor Zero-Day-Exploits schützen soll, bis der Hersteller ein Update bereit stellt.

Das ZERT hatte kürzlich einen inoffiziellen Patch für die VML-Lücke in Microsofts Browser veröffentlicht. Kurz darauf gab Microsoft aber ein außerplanmäßiges Update heraus.

Siehe dazu auch:

    * Zero-day Microsoft Internet Explorer WebViewFolderIcon ActiveX Vulnerability and Free Downloadable Fix, Patch von Determina
    * Zeroday Emergency Response Team (ZERT), Patchbeschreibung von ZERT

Quelle und Links : http://www.heise.de/security/news/meldung/78918