Zero Day Exploit für Internet Explorer

Es gibt einen Zero Day Exploit für den Internet Explorer von Microsoft. Weitere Informationen finden sich unter http://technet.microsoft.com/de-de/security/advisory/2757760.

Dies bedeutet, dass man nur durch das blosse Ansehen einer Internetseite mit dem Internet Explorer infiziert werden kann.

Microsoft hat einen Fix ausserhalb der normalen Patchdays angekündigt:

image

Das deutsche BSI empfiehlt den Einsatz eines anderen Browsers. Dies lässt sich aber in einer grossen Umgebung nicht so leicht und vor allem so schnell realisieren und ist genau so lange gut, bis der nächste Exploit für den nun als Ersatz verwendeten Browser bekannt wird.

Microsoft bietet 3 verschiedene “Workarounds” an. Mit den vorgeschlagenen Änderungen an den Sicherheitseinstellungen vom Internet Explorer lässt sich aber nicht mehr wirklich im Internet arbeiten, die fallen also weg. Die 3. Möglichkeit ist der Einsatz des “Enhanced Mitigation Experience Toolkit (EMET)”.

Ich habe das mal in einer virtuellen Maschine versucht:

image

Nachdem man EMET 3.0 gestartet hat, kann man auf “Configure Apps” öffnen.

image

Nun kann man den Internet Explorer und C:\Programme (x86)\Internet Explorer\iexplore.exe (bei 64bit Maschinen)resp. C:\Programme\Internet Explorer\iexplore.exe hinzufügen.

image

Nun kann man die Liste der durch EMET geschützten Programme (im Moment nur IE) mit einem Klick auf OK bestätigen.

image

Die geschützte Anwendung muss neu gestartet werden.

Weil ich gelesen habe, dass nach diesem Vorgehen allenfalls nicht mehr alle Webseiten funktionieren, habe ich Systemtests unter www.enlight.ch und unter www.stellwerk-check.ch gemacht, die von Flash und Java Gebrauch machen. Beides hat funktioniert. Trotzdem gibt es ein Restrisiko, dass einzelne Seiten nicht mehr wie gewünscht funktionieren. Ausserdem habe ich nur mit Windows7 32bit getestet, wir haben aber auch viele 64bit Maschinen im Einsatz.

Man kann die Installation von EMET und die Konfiguration vom IE auch automatisiert verteilen. Ich habe nun aber darauf verzichtet. Zum einen würde das noch viele weiterführende Tests benötigen, bevor man wirklich auf über 350 Geräte ausrollen sollte. Zum anderen wird von einem Mitarbeiter von Rapid 7 (Rapid 7 ist an der Entwicklung von Metasploit beteiligt) angezweifelt, ob EMET überhaupt diesen Schutz bieten kann:

"It doesn’t appear to be completely effective," said Tod Beardsley, an engineering manager with the security firm Rapid7.

Auf Youtube wird bereits gezeigt, wie man mit Metasploit einen Angriff fast vollautomatisch durchführen kann.

Auf der einen Seite würde es einen grossen Aufwand bedeuten, EMET ausführlich zu testen und auszurollen, auf der anderen Seite wird von kompetenter Seite die Wirksamkeit angezweifelt. Schweizer Firmen haben im Schnitt für 14 bis 58 PCs einen IT-Mitarbeiter, wir haben einen für 350 PCs. Ich habe daher beschlossen, zu hoffen, dass Microsoft schneller einen Fix veröffentlicht, als ich mit dem Testen und verteilen von EMET überhaupt wäre…

Nachtrag

Microsoft hat einen Fix veröffentlicht und angekündigt, morgen ein Update über Windows Update auszuliefern, das die Lücke schliessen soll. Man kann je ein Fix it MSI herunterladen, um den Fix zu “einzuschalten” resp. “auszuschalten”.

image

Nachdem ich das erfolgreich mit einer virtuellen 32bit und 64bit Maschine und mit geöffnetem und geschlossenem Internet Explorer getestet habe, wollte ich nicht mehr bis morgen abwarten.

image 

Man kann den Fix über den normalen Weg zur Softwareverteilung installieren. Entweder über Gruppenrichtlinien oder über eine andere Lösung wie SCCM mit “msiexec /i MicrosoftFixit50939.msi /qn”

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s