Microsoft warnt vor Internet Explorer Zero-Day, aber noch kein Patch

Microsoft hat heute eine Sicherheitsempfehlung zu einer Sicherheitsanfälligkeit im Internet Explorer (IE) veröffentlicht, die derzeit in freier Wildbahn ausgenutzt wird – ein sogenannter Zero-Day.

Der Security Advisory (ADV200001) des Unternehmens enthält derzeit nur Workarounds und Mitigations, die angewendet werden können, um anfällige Systeme vor Angriffen zu schützen.

Zum Zeitpunkt des Schreibens gibt es keinen Patch für dieses Problem. Microsoft sagte, es arbeite an einem Fix, der zu einem späteren Zeitpunkt veröffentlicht werden soll.

Während Microsoft sagte, es sei sich bewusst, dass der IE Zero-Day in freier Wildbahn ausgenutzt wurde, beschrieb das Unternehmen diese als “begrenzte gezielte Angriffe”, was darauf hindeutet, dass der Zero-Day nicht allgemein ausgenutzt wurde, sondern Teil von Angriffen auf eine kleine Anzahl von Benutzern.

Es wird angenommen, dass diese begrenzten IE Zero-Day-Angriffe Teil einer größeren Hacking-Kampagne sind, zu der auch Angriffe auf Firefox-Benutzer gehören.

Verbunden mit dem Firefox Zero-Day der letzten Woche

Letzte Woche hat Mozilla einen ähnlichen Zero-Day gepatcht, der ausgenutzt wurde, um Firefox-Benutzer anzugreifen. Mozilla gutgeschrieben Qihoo 360 für die Entdeckung und Berichterstattung der Firefox Zero-Day.

In einem inzwischen gelöschten Tweet sagte die chinesische Cybersicherheitsfirma, die Angreifer hätten auch einen Internet Explorer Zero-Day ausgenutzt. Dies scheint der Zero-Day zu sein, den Qihoo 360-Forscher zu der Zeit erwähnten.

Es wurden keine Informationen über den Angreifer oder die Art der Angriffe weitergegeben. Qihoo 360 gab keine Bitte um Stellungnahme zurück, um Informationen über die Angriffe zu erhalten.

RCE im IE

Auf technischer Ebene beschrieb Microsoft diesen IE Zero-Day als einen RCE-Fehler (Remote Code Execution), der durch einen Speicherfehler in der Scripting Engine des IE verursacht wurde – der Browserkomponente, die JavaScript-Code verarbeitet.

Im Folgenden finden Sie die technische Beschreibung dieses Zero-Day von Microsoft:

Eine Sicherheitsanfälligkeit bei der Remotecodeausführung besteht darin, dass die Scripting Engine Objekte im Speicher in Internet Explorer verarbeitet. Die Sicherheitsanfälligkeit kann den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website hosten, die die Sicherheitsanfälligkeit über Internet Explorer ausnutzen soll, und dann einen Benutzer davon überzeugen, die Website anzuzeigen, indem er beispielsweise eine E-Mail sendet.

Alle unterstützten Windows-Desktop- und Server-Betriebssystemversionen sind betroffen, sagte Microsoft.

Dieser IE RCE Zero-Day wird auch als CVE-2020-0674 verfolgt.

Microsoft hat im September und November 2019 zwei ähnliche IE Zero-Days gepatcht. Obwohl IE in den neuesten Windows-Betriebssystemversionen nicht mehr der Standardbrowser ist, wird der Browser weiterhin mit dem Betriebssystem installiert. Benutzer älterer Windows-Versionen sind in erster Linie gefährdet.