Angreifer haben eine Zero-Day-Schwäche in allen Versionen des Microsoft Internet Explorer ausgenutzt, um in einige sehr populäre japanische Media Outlets einzudringen, und haben auch Computersysteme der Regierung, von Hightech-Unternehmen und der verarbeitenden Industrie angegriffen.

Untersuchungen haben ergeben, dass es sich wohl um eine auf breiter Ebene angelegte Informationsbeschaffungs-Operation handelt und dass dabei die McRAT Remote Access Malware aufgespielt wird, um Daten von den betroffenen Computern herunterzuladen. Auch in Taiwan sind kürzlich solche Attacken ausgeführt worden.

Das SANS Internet Storm Center hat den Bedrohungslevel entsprechend auf Gelb erhöht. Microsoft hat eine Sicherheitsanweisung CVE-2013-3893 veröffentlicht und warnt seine Anwender vor Systemschwächen generell in allen Versionen des Internet Explorers, aber überwiegend im Internet Explorer 8 und 9.

Das Unternehmen hält ein „Fix it“ zum Download bereit, um das Problem vorübergehend einzudämmen. Allerdings ist bis jetzt noch kein Patch über ein offizielles Windows-Update veröffentlicht worden. SANS Sicherheitsexperte Pescatore äußerte sich hierzu wie folgt:

„These manual workarounds are hugely disruptive and expensive. It is like telling delivery truck drivers to stop every few miles and wrap their tires in duct tape until someone figures out why the tires keep leaking.“

Die Angreifer nutzen auch eine Javascript-Schwäche aus und können so die ASLR umgehen. ASLR (Address Space Layout Randomization) ist ein Sicherheitsbaustein für Windows, welcher die Produkte gegen Pufferüberlauf-Attacken schützt. FireEye, ein Internet-Sicherheitsunternehmen, berichtete, dass eine bekannte Hackergruppe die Schwäche ausnutzt, um japanische Unternehmen gezielt anzugreifen – als Teil einer Attacken-Kampagne bekannt als “Operation DeputyDog”.

Mittlerweile bietet Microsoft ein Sicherheitsupdate an. Sicherheitsupdates sind eines der wichtigsten Maßnahmen, um vor Hacker- und Virenangriffen geschützt zu sein. Es sollten nicht nur das Betriebssystem, sondern auch alle Anwendungen (inkl. Java, Acrobat, Flash usw.) in den Genuss von regelmäßigen Sicherheitsupdates kommen. Ein empfohlener und guter maximaler Zeitrahmen, um Patches einzuspielen ist maximal 48 Stunden ab dem Zeitpunkt der Veröffentlichung.

Artikel von threatpost.com, 23.09.2013: Compromised Japanese Media Sites Serving Exploits for Latest IE Zero Day
Artikel von zdnet.com, 27.09.2013: IE zero-day actively being exploited in the wild: Rapid7