Thema: Weitere unbekannte Lücke im Internet Explorer wird bereits ausgenutzt

[SiLæncer]

Eine bislang unbekannte Lücke im Internet Explorer soll nach Angaben des Sicherheitsunternehmens Sunbelt bereits von einigen Webseiten ausgenutzt werden, um Besucher mit Trojanern und Spyware zu infizieren. Wie lange dies bereits geschieht, ist unklar, Sunbelt ist nach US-Medienberichten auch nur während der routinemäßigen Beobachtung bekannter "Crimeware Gangs" auf die Lücke gestoßen.

Offenbar nutzen die präparierten Webseiten – in der Mehrzahl wohl Pornoseiten – einen Buffer Overflow bei der Verarbeitung der Vector Markup Language (VML) im Browser aus, um Code in ein vollständig gepatchtes Windows XP SP2 einzuschleusen und mit den Rechten des Anwenders auszuführen – in der Regel als Administrator. Weitere Details veröffentlicht Sunbelt vorerst nicht. Ein Patch ist derzeit nicht verfügbar. Microsoft soll über die neue Lücke informiert sein. Abhilfe bringt aber jetzt schon das Deaktivieren von JavaScript.

Bei dem vergangene Woche gemeldeten Zero-Day-Exploit für eine Lücke in DirectAnimantion-ActiveX-Control des Internet Explorer hilft indes nur das Abschalten von ActiveX, um sich vor Angriffen zu schützen. Hier beruht die Schwachstelle ebenfalls auf einem Pufferüberlauf. Allerdings funktionieren die dafür bislang bekannten Proof-of-Concept-Exploits nach bisherigen Erkenntnissen nur auf chinesischen Windows-Versionen. Auch für diese Lücke gibt es keinen Patch. Microsoft arbeitet aber bereits daran und will am nächsten Patchday ein Update bereitstellen.

Aufgrund des Risikos sollten Anwender erwägen, einen anderen Browser einzusetzen. Sofern die Wahl auf Firefox, Mozilla oder Seamonkey fällt, sollte man aber darauf achten, die aktuellste Version einzusetzen, da auch diese Browserfamilie in der Vergangenheit Schwachstellen aufwies. Zuletzt wurden mehrere Lücken Ende letzter Woche gestopft, vier davon stuften die Entwickler als kritisch ein. Exploits dafür wurden allerdings noch nicht gesichtet. Auch Opera stellt eine Alternative dar, inbesondere weil es so gut wie keine Exploits für bekannte Lücken gibt. Nach Aussage von Sicherheitspezialisten soll ein Grund dafür sein, das Exploits unter Opera kaum stabil zum Laufen zu bekommen sind.

Siehe dazu auch:

    * Seen in the wild: Zero Day exploit being used to infect PCs, Blogeintrag von Sunbelt


Quelle und Links : http://www.heise.de/security/news/meldung/78372

[Chrisse]

So so abschalten von Javascript....  abschalten von ActiveX....

Vorschlag zur Güte: Abschalten von Windows -> best protection ever............


Gruß

Chrisse

[SiLæncer]

Vorschlag zur Güte: Abschalten von Windows -> best protection ever............

Ja klar

Aber mal im Ernst ...wer auf Nummer sicher gehen will lässt einfach Damn Small Linux im VMWare Player laufen und surft dann damit -> http://www.dvbcube.org/index.php?topic=11444.0

[Warpi]

Vorschlag zur Güte: Abschalten von Windows -> best protection ever............

Ja klar

Aber mal im Ernst ...wer auf Nummer sicher gehen will lässt einfach Damn Small Linux im VMWare Player laufen und surft dann damit -> http://www.dvbcube.org/index.php?topic=11444.0

Besser umgekehrt. Damn Fat Windoze unter Linux ... 

http://www.datahelpsolution.de/prog/puttyvnc/vnc-linux-win.JPG

[SiLæncer]

Microsoft hat ein Advisory zur jüngst veröffentlichten VML-Lücke im Internet Explorer herausgegeben. Darin bestätigt der Softwarekonzern die bisherigen Meldungen, dass Angreifer über manipulierte Vektorgrafiken in Webseiten und E-Mails beliebigen Schadcode einschleusen und unter Umständen die volle Kontrolle über anfällige Systeme übernehmen können. Insbesondere warnen die Redmonder vor der Möglichkeit, dass die Schadprogramme auch über präparierte Werbebanner auf die PCs gelangen könnten. Außerdem könnten Webseiten, auf denen Besucher eigene Bilddateien einstellen können, als Übertragungsvektor für manipulierte VML-Dateien dienen.

Unterdessen melden die Avert Labs des Antiviren-Herstellers McAfee, dass das Cracker-Toolkit WebAttacker um einen VML-Exploit erweitert worden sei. Mit WebAttacker lassen sich im Handumdrehen manipulierte Webseiten erstellen, die Besuchern mit verwundbaren Browsern Schadsoftware unterschieben. Das Toolkit sei auf dem Schwarzmarkt für rund 15 Euro erhältlich. Es ist daher damit zu rechnen, dass sich in den kommenden Tagen die Zahl der Webseiten mit eingebetteten VML-Exploits stark erhöhen wird.

Microsoft gibt als möglichen Workaround an, die verwundbare Bibliothek vgx.dll zu deaktivieren. Dazu müssen Anwender "Start" und "Ausführen" anklicken und den Befehl

regsvr32 -u "%ProgramFiles%\Gemeinsame Dateien\Microsoft Shared\VGX\vgx.dll"

eingeben. Nach der Bestätigung und einem anschließenden Rechnerneustart ist das System nicht mehr verwundbar. Als Nebenwirkung der Deregistrierung von vgx.dll kann der PC keine VML-Dateien mehr anzeigen, was sich praktisch aber kaum bemerkbar machen dürfte. Nach dem Einspielen eines Patches, den Microsoft möglicherweise am kommenden Oktober-Patchday veröffentlicht, lässt sich die Bibliothek mit obigem Befehl ohne die Option "-u" auch wieder aktivieren.

Laut einem Test des Internet Storm Center ist Microsofts OneCare Live derzeit als einziges AV-Produkt in der Lage, VML-Schadcode zu erkennen. Die zugehörige Lücke ist allerdings nur eine von zurzeit vier unbehobenen Schwachstellen in Microsoft-Produkten, die das Einschleusen von beliebigem Schadcode ermöglichen: Für PowerPoint, Word und daxctle.ocx im IE stehen Patches ebenfalls noch aus.

Siehe dazu auch:

    * Vulnerability in Vector Markup Language Could Allow Remote Code Execution, Advisory von Microsoft
    * Weitere unbekannte Lücke im Internet Explorer wird bereits ausgenutzt auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/78460

[SiLæncer]

Die jüngste Sicherheitslücke im Internet Explorer betrifft auch Outlook und kann daher auch mit speziell präparierten Mails ausgenutzt werden, um schädlichen Code einzuschleusen.

Die Ausnutzung der VML-Anfälligkeit im Internet Explorer (IE) findet bereits auf einer großen Zahl von Web-Seiten statt, die vorwiegend mit dem Web Attacker Toolkit arbeiten . Es ist jedoch auch möglich, diese Schwachstelle über präparierte Mails auszunutzen.

Dazu genügt es, eine Mail zu senden, in der VML-Code (Vector Markup Language) ohne den Einsatz von Javascript oder anderen Script-Sprachen verwendet wird. Auf diese Weise kann so genannter Shell-Code eingeschleust werden, wie er auch sonst oft in Exploits (Ausnutzung von Sicherheitslücken) zum Einsatz kommt.

Script-Code wird von neueren Outlook-Versionen (wie Outlook 2003) blockiert, allerdings können ältere Versionen anfällig sein. Auch andere Mail-Programme, vor allen Dingen Outlook Express, benutzen Komponenten des IE, um HTML-Mails anzuzeigen. Sie sind daher ganz allgemein anfällig für viele der Schwachstellen im Internet Explorer.

Der Internet Explorer ist der einzige Browser, der VML unterstützt. VML wurde Ende des 20. Jahrhunderts von Microsoft als Gegenentwurf zu SVG (Scalable Vector Graphics: http://www.w3.org/Graphics/SVG/) vorgeschlagen. Opera, Mozilla und andere aktuelle Browser setzen auf SVG, für dessen Verarbeitung der IE ein Plug-in von Adobe benötigt, ebenso wie ältere Netscape- und Mozilla-Browser.

Als einzig probates Mittel gegen die Ausnutzung der VML-Anfälligkeit im IE gilt derzeit die Deregistrierung der anfälligen Programmbilbliothek "vgx.dll". Die folgende Befehlszeile erledigt dies auf Windows-Versionen in den meisten Sprachen. Geben Sie sie entweder in einer Eingabeaufforderung oder über START / Ausführen... ein:

regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

Es erscheint dann eine Dialogbox, die den Erfolg der Aktion bestätigt. Microsoft hat für den nächsten Patch Day am 10. Oktober ein Sicherheits-Update angekündigt, schließt jedoch zumindest nicht aus, dass es dieses bereits vorher bereit stellt.

Quelle : www.pcwelt.de

[SiLæncer]

Unabhängige Sicherheitsspezialisten haben einen Patch für die VML-Lücke im Internet Explorer entwickelt und veröffentlicht. Der vom Zero Day Emergency Response Team (ZERT) herausgegebene Patch soll die Lücke in Windows 2000 SP4, Windows XP SP1 und SP2 sowie Windows Server 2003 SP1 (und R2) schließen. ZERT reagiert damit nach eigener Aussage auf den unzulänglichen Update-Zyklus von Microsoft selbst bei kritischen Lücken, der nach Meinung des Teams einfach zu große Abstände aufweist. So genannte Crimeware Gangs hätten sich inzwischen auf den Zyklus eingestellt und würden Exploits für unbekannte Lücken just einen Tag nach Microsofts Patchday starten. Bis zum nächsten Patchday hätten sie dann vier Wochen, in denen Anwender für diese Schwachstellen verwundbar sind.

Mitglieder des ZERT sind unter anderem Joe Stewart von SecureWorks, Halvar Flake von Sabre Security, Ilfak Guilfanov, Autor von IDA Pro und Entwickler des WML-Patches von Anfangs des Jahres, Roger Thompson von Exploit Prevention Labs sowie Florian Weimer. Gadi Evron, Spezialist für Bot-Netze stellt sich als "Operations Manager" zur Verfügung, während Dan Hubbard, Leiter der Forschungsabteilung bei Websense technische Unterstützung bei Zero-Day-Outbreaks liefern soll.

In der Vergangenheit war Microsoft von der Veröffentlichung inoffizieller Patches wenig begeistert und warnte vor dem Einspielen. Dies dürfte auch in diesem Fall nicht anders sein. Zwar ist der Patch laut Evron getestet, allerdings garantiere dies nicht, dass er in jeder Umgebung ohne Probleme funktioniere. Immerhin sei dies aber eine Option, um nicht bis zu 10. Oktober warten zu müssen. Dann könne man ja den offiziellen Patch von Microsoft installieren.

Zur Installation des Patches steht eine Version mit GUI sowie eine für die Eingabeaufforderung zur Verfügung. Mit beiden Versionen lässt sich der Patch auch wieder entfernen – was bei einem kurzen Test der heise Security Redaktion auch funktionierte. Ob der Internet Explorer verwundbar ist und die Installation des Patches die Lücke schließt, lässt sich anhand einer Demo-Seite des ZERT überprüfen. Zumindest stürzte der gepatchte Browser im Test beim Aufruf der Demo-Seite nicht mehr ab.

Quelle und Links : http://www.heise.de/security/news/meldung/78583

[SiLæncer]

Nach der Veröffentlichung eines inoffiziellen Patches für die VML-Lücke im Internet Explorer durch das Zero Day Emergency Response Team stellt nun der Hersteller PatchLink ein weiteres inoffizielles Update bereit – allerdings nur für die eigene Kundschaft. PatchLink reagiert damit auf die zunehmende Bedrohung von IE-Anwendern durch infizierte Webseiten. Für Nicht-Kunden empfiehlt der Hersteller, der Anleitung Microsofts zu folgen und die verwundbare Bilbiothek einfach zu deakivieren. Auch zahlreiche Kundenseiten eines Webhosters wurden bereits gehackt, um Besucher auf präparierte Webseiten zu leiten.

Wie groß die Bedrohung mittlerweile wirklich ist, ist nicht klar. Microsoft ging noch am Freitag vergangener Woche davon aus, das es nur wenige Seiten gäbe, die Besucher über die VML-Lücke mit Schädlingen infizieren. Dies hätten auch die mit den Partnern der Microsoft Security Response Alliance ausgetauschten Informationen ergeben. Der Hersteller Websense will allerdings eine Zunahme der Angriffe beobachtet haben. Mittlerweile sollen gefälschte Yahoo!-Grußkarten per E-Mail im Netz unterwegs sein, die Anwender geradewegs auf präparierte Webseiten führen. Ähnliche Angriffe über Grußkarten gab es zuletzt Anfang des Jahres bei dem WMF-Lücke.

Unterdessen arbeitet Microsoft weiter mit Hochdruck an der Fertigstellung eines Patches. Möglicherweise wollen die Redmonder das Update noch vor dem nächsten Patchday am 10. Oktober veröffentlichen, sofern die Tests abgeschlossen seien.

Quelle und Links : http://www.heise.de/security/news/meldung/78691

[SiLæncer]

Die VML-Sicherheitslücke im Internet Explorer wird mittlerweile auf verschiedenen Wegen ausgenutzt. Dazu zählen auch vorgebliche Grußkarten-Mails, mit denen die Empfänger auf präparierte Web-Seiten gelockt werden sollen.

Das Sicherheitsunternehmen Websense berichtet über ein solches Beispiel, in dem eine vorgebliche Yahoo Grußkarten-Mail als Lockmittel dient. Die Empfänger erhalten darin die Mitteilung, sie hätten eine Grußkarte erhalten. Sie werden aufgefordert den Link in der Mail anzuklicken, um die Grußkarte anzusehen.

Folgen sie dieser Aufforderung, landen sie auf einer präparierten Seite, die einen nur 1 x 1 Pixel großen IFrame enthält. Dieser lädt den Exploit-Code von einer anderen Website in die aktuelle Seite. Anfällige IE-Versionen stürzen ab, es wird schädlicher Code eingeschleust und ausgeführt. Dabei handelt es sich um ein Download-Programm, das weitere Schädlinge aus dem Internet nachlädt.

Quelle : www.pcwelt.de

[SiLæncer]

Über den automatischen Windows Update Service liefert Microsoft derzeit einen Patch aus, der den Fehler in der Windows-Implementierung der Vector Markup Language (VML) entschärfen soll. Diese Lücke wurde in den letzten Tagen vermehrt ausgenutzt, um über präparierte Web-Seiten Hintertüren und Keylogger zu installieren.

Weitere Informationen was der Patch genau bewirkt, stehen derzeit noch nicht zur Verfügung. So ist unter anderem nicht klar, ob es nur eine automatisierte Version des Workarounds ist, die verwundbare Bibliothek vgx.dll zu deaktivieren. Anwender sollten also mit dem Reaktivieren warten, bis Microsoft die angekündigte Beschreibung veröffentlicht. Patches für die kritischen Lücken in Office und daxctle.ocx im IE stehen noch aus.

Quelle : www.heise.de

[SiLæncer]

Update:
Der Patch ersetzt zumindest unter Windows XP die betroffene Bibliothek vgx.dll durch eine neue Version (von 6.0.2900.2997 auf 6.0.2900.2180). Für Windows 2000 liefert Microsoft eine überarbeitete Version des Kernel-Updates aus (MS06-049), die Probleme mit der Komprimierung von NTFS beheben soll.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsexperte Aviv Raff hat für Tests einen der verbreiteten VML-Exploits auf verschiedene Arten modifiziert. Bei Kombination mehrerer Änderungen erkannte ihn nur noch eines der auf Virustotal eingesetzten Antiviren-Programme. Zu ähnlichen Ergebnissen kommt auch HD Moore, der für das Framework Metasploit ein VML-Modul veröffentlicht hat. Bei Tests von heise Security funktionierten die damit erstellten Exploits zwar erst nach geringfügigen Anpassungen, sie wurden dann aber tatsächlich von keinem der rund zwei dutzend getesteten Scanner erkannt. Das bedeutet, dass jeder, der mit einem Kommandozeilen-Interface umgehen kann, sehr flexible Exploits erstellen und dann auf Web-Seiten einbetten kann. Umso dringender ist es, den gestern abend veröffentlichten Patch von Microsoft möglichst schnell einzuspielen.

Die Ergebnisse der Tests von Raff und Moore entsprechen den Erfahrungen von heise Security, nach denen es oft erschreckend einfach ist, Exploits durch geringfügige Eingriffe so zu modifizieren, dass zumindest die signaturbasierten Komponenten von Antiviren-Software nicht mehr anschlagen. Auch Moores Verschleierungstechniken sind kein Hexenwerk. So streut er beispielsweise zufällig Zeilenumbrüche, Leerzeichen und ähnliches in seinen Code ein. Das Versagen der Scanner ist unter Anderem darauf zurückzuführen, dass die Signaturen zumeist für die entdeckten Exploits und nicht allgemein für das Ausnutzen einer Schwachstelle erstellt werden. Und alternative Schutzmechanismen wie Behavioural Blocking stecken, wie auch ein Test in c't zeigte, noch in den Kinderschuhen (c't 14/2006, S. 222).

In der Antiviren-Community werden derartige Untersuchungen allerdings gar nicht gern gesehen; dort gilt das Erstellen modifizierter Schädlinge als Sakrileg (siehe auch Du sollst keine Viren bauen!). Bei einer Verabschiedung des Gesetzentwurfs gegen "Hacker-Tools" werden derartige Tests sogar illegal. Kriminelle Banden werden sich hingegen durch Gesetze vom Erstellen und Herunterladen von Malware-Baukästen kaum abhalten lassen.

Siehe dazu auch:

    * VML Exploit vs. AV/IPS/IDS signatures von Aviv Raff
    * Internet Explorer VML Fill Method Code Execution, Metasploit-Modulvon HD Moore
    * Exploits für alle, Hintergrundartikel zu Metasploit auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/78772