Link: Suche und Kontakt

[Beginn des Inhalts]

18.01.2010 Kurzinformation zum aktuellen Sicherheitsproblem im Internet Explorer - Aurora Exploit

Category: IT- und Medienzentrum (ITMZ)

In den letzten Tagen wurde ein Angriff mittels des Internet Explorer bekannt, welcher auch in den Medien Beachtung findet. Damit die daraus gezogenen Schlüsse nicht zu einem "Security Theater" werden, hier eine Kurzzusammenfassung über den bisherigen Kenntnisstand.

In letzten Tagen wurde ein Angriff mittels des Internet Explorer bekannt, welcher auch in den Medien Beachtung findet. Damit die daraus gezogenen Schlüsse  nicht zu einem „Security Theater“ werden, hier eine Kurzzusammenfassung über den bisherigen Kenntnisstand.

Dies vorab gesagt: Jetzt ist der richtige Zeitpunkt auf Internet Explorer 8 zu aktualisieren und sich von Windows XP zu verabschieden. 

Die Zwei Benutzerregel und der Einsatz von Software Whitelisting verhindern diese Art von Angriffen unabhängig vom eingesetzten Browser.

Das Prinzip ist einfach: Arbeite als Normalnutzer und erlaube das Starten von Programmen nur aus schreibgeschützten Pfaden.

Dies wird seit Jahren vom Rechenzentrum „gepredigt“:  

Welche Software ist betroffen?

Die DOM(Document Object Model)-Speicherverwaltung des Internet Explorer 6/7/8.  

Internet Explorer 8 ist von den gegenwärtigen Exploits nicht betroffen, da laut Microsoft und Mcafee dort DEP (Data Execution Prevention) standardmäßig eingeschaltet ist und DEP die aktuell bekannten Angriffe auf die DOM-Speicherverwaltung des Internet Explorers wirksam unterbinden, s.  

Wie funktioniert der Angriff?

Der Angriff kann nicht ohne Aktivität des jeweiligen Nutzers ausgeführt werden,  d.h. der Nutzer MUSS erst eine präparierte Seite von einem Webserver aufrufen!  

Von einer präparierten Webseite wird über einen Bug in der DOM-Speicherverwaltung des Internet Explorers Code ausgeführt, welcher ein Programm von einem entfernten Server herunterlädt und  eine Fernsteuersoftware auf dem lokalen System ausführt. Danach kann das nun kompromittierte System aus der Ferne mit den Betriebsystemrechten des jeweiligen Nutzers gesteuert werden, um z.B. Dateien zu stehlen, .s 

Wie kann ich mich vor dem Angriff schützen?

Aktualisieren Sie den Internet Explorer auf die Version 8.

Befolgen Sie außerdem unbedingt die Hinweise unter

Sind die zentral administrierten Systeme des Rechenzentrums betroffen?

Nein, alle zentral administrierten System nutzen den Internet Explorer 8.

Was war das ursprüngliche Ziel des Angriffs?

Das ist unsicher. Es scheint ursprünglich ein politisch motivierter Angriff auf Google E-Mail-Konten von Menschenrechtsaktivisten und amerikanischen Think Tanks gewesen zu sein.
Auch andere Firmen werden genannt z.B. Adobe, Juniper, Yahoo usw., s.

Soll ich der Empfehlung des BSI folgen einen alternativen Browser zu benutzen?

Ja, wenn Sie zukünftig immer jeweils den aktuell sichersten Browser einsetzen, d.h. also den Browser mit den aktuell wenigsten  Sicherheitslöchern.

Bedenken Sie dabei auch die Fülle an Add-Ons, welche für die Arbeit im Internet benutzt wird,  z.B. Flash, Acrobat, Java usw., welche wie jede Software Fehler aufweist, welche für Angriffe benutzt werden können.

Leider pflegt das BSI keine Liste der sichersten Browser und daher ist es praktikabler sich auf die  Umsetzung einer Arbeitsweise zu konzentrieren, welche solche Angriffe von vornherein unterbindet.

Vor allen Dingen ist hier die Kombination aus der Arbeit unter einem nicht-administrativen Konto für Alltagsarbeiten, wie z.B. „Surfen“ im Internet, und der Nutzung von Software Whitelistung per Software Restrictions (Windows XP/Vista/Server 2003/2008) oder Applocker (Windows 7/Server 2008 R2) zu nennen, welche 0-Day-Exploits wirksam verhindern kann. Der alleinige Wechsel des Browsers kann dies nicht leisten!

Ausführliche Hinweise dazu finden Sie unter:

<< back to: Alle Meldungen der Universität

Subscribe to RSS feed: Overview on all offered RSS feeds

[Ende des Inhalts]

Zusatzinformationen

Nach oben