Besonders gefährlich ist der „Unicorn CVE-2014-6332“ genannte Bug nicht nur, weil er eine Ausführung beliebiger Codes ermöglicht, die ein Angreifer eingeschleust hat. Die Schwachstelle erlaubt es, dass die Attacke zudem den so genannten Enhanced Protected Mode (EPM) im Internet Explorer 11 umgehen kann. Auch das kostenlose Hilfsprogramm von Microsoft, das Enhanced Mitigation Experience Toolkit (EMET), stellt kein Hindernis dar. Dabei ist dieses Programm eigens dafür entwickelt worden, um Schutz vor der Ausnutzung von Schwachstellen zu bieten. Die Malware nutzt ein älteres Einfallstor im Internet Explorer 3 bis 11 aus. So sind sämtliche Nutzer des Microsoft-Browsers angreifbar, die den aktuellen Patch (noch) nicht installiert haben. Anhand eines kürzlich veröffentlichen Proof-of-Concept (PoC) zeigt sich, wie elementar der aktuelle Microsoft-Patch für den Internet Explorer ist: Fehlt der Patch, ist es ohne weiteres möglich, über eine präparierte Website einen beliebigen Code auf dem ungeschützten PC auszuführen. Das bedeutet: Wer eine solche Seite besucht, erlaubt unwissentlich die Installation unterschiedlicher Schadsoftware auf seinem Windows-Rechner – mit unerfreulichen Folgen.
Die Angriffsmethode ist derzeit noch nicht weit verbreitet, was sich erfahrungsgemäß schnell ändern dürfte. ESET konnte bislang eine kompromittierte Webseite identifizieren. Dabei handelt es sich um eine sehr beliebte und oft besuchte Nachrichtenseite in Bulgarien. In einem Artikel über die Gewinner einer bulgarischen Reality-TV-Show findet sich ein versteckter Exploit. ESET erkennt ihn als Win32/Exploit.CVE-2014-6332.A. Wie der Quellcode der Webseite verrät, wird der Exploit auf einer russischen Website gehostet. Obwohl bislang noch kein Hinweis darauf besteht, dass sich bekannte Exploit Kits der beschriebenen Methode bedienen, ist es wohl nur eine Frage der Zeit, bis das geschieht. In Anbetracht der weiten Verbreitung des Internet Explorer ist die Wahrscheinlichkeit sehr hoch.
ESET rät daher allen Windows-Nutzern dazu, den von Microsoft bereitgestellten Patch möglichst schnell zu installieren.
Die Angriffsmethode ist derzeit noch nicht weit verbreitet, was sich erfahrungsgemäß schnell ändern dürfte. ESET konnte bislang eine kompromittierte Webseite identifizieren. Dabei handelt es sich um eine sehr beliebte und oft besuchte Nachrichtenseite in Bulgarien. In einem Artikel über die Gewinner einer bulgarischen Reality-TV-Show findet sich ein versteckter Exploit. ESET erkennt ihn als Win32/Exploit.CVE-2014-6332.A. Wie der Quellcode der Webseite verrät, wird der Exploit auf einer russischen Website gehostet. Obwohl bislang noch kein Hinweis darauf besteht, dass sich bekannte Exploit Kits der beschriebenen Methode bedienen, ist es wohl nur eine Frage der Zeit, bis das geschieht. In Anbetracht der weiten Verbreitung des Internet Explorer ist die Wahrscheinlichkeit sehr hoch.
ESET rät daher allen Windows-Nutzern dazu, den von Microsoft bereitgestellten Patch möglichst schnell zu installieren.
