DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Aktuelle Sicher­heits­lücke im IE

Aktuelle Sicherheitslücke: Die Kirche im Dorf lassen?

Besonders kri­tische Sicher­heits­lücken werden in mehr oder weniger regel­mä­ßigen Abständen gefunden. Jedoch nur bei einigen springt die Presse auf, als wäre das ganze Internet in Gefahr.

 

 

Das ver­stehe nun wer will. Wenn ich mir die aktu­ellen Mel­dungen zu „Kri­tische Zero-Day-Schwach­stelle im Internet Explorer“ ansehe, zweifle ich schon ein Stück an der Kom­petenz der Ver­ant­wort­lichen. Sicher, die Lücke ist kri­tisch. Und ja, es gibt berech­tigte Gründe davon aus­zu­gehen, dass die Lücke bereits aktiv aus­ge­nutzt wird.

Und?
Jeden Tag werden Lücken gefunden. Mit dem Pwn2Own-Wet­t­­bewerb findet regel­mäßig ein Medi­en­spek­takel statt, bei dem es um die Prä­mierung von gefun­denen Sicher­heits­lücken geht, eben auch Zero-Day-Exploits. Ein wei­terer gleich­ge­la­gerter Wett­bewerb ist Pwnium. Zusammen kommt ein ordent­liches Maß an Gefahren, die den Her­stellern vorher nicht bekannt waren – und damit nicht weniger gefährlich. Die großen Her­steller lassen es sich einiges kosten, wenn Sicher­heits­lücken gemeldet werden. Also, wozu das ganze aktuelle Medi­en­spek­takel?

Stuxnet, Duqu, Flame etc.! DAS sind Fund­stücke, die mir Sorgen machen. Angriffe auf kri­tische Infra­struk­turen eines Landes, die auch für ein­zelne Unter­nehmen massive Aus­wir­kungen haben können. Vor allem, da erst kürzlich gemeldet wurde, dass diese schon seit 6 Jahren unterwegs sein dürften (Quelle: heise.de) . Und dann wird noch gemutmaßt, dass dies von staat­lichen Seiten ver­schie­dener Länder unter­stützt bzw. in Auftrag gegeben wird. Diese Lücken und Angriffs­muster werden sicher nicht gemeldet, wie auch gezielte Cra­cker­an­griffe.

Jetzt also die ganze Auf­regung nur um eine ein­zelne Lücke?!
Naja, Sicher­heits­lücken haben es natürlich schon in sich. Gilt aber für viele und eben nicht nur für diese eine. Man muss wissen, dass bei einem Viren­kauf­kommen von im Schnitt mehr als 50.000 neuen Viren (Quelle: av-test.org) pro Tag die Viren­scanner so ihre liebe Mühe haben. Da ist es schon hilf­reich, wenn mit jeder geschlos­senen Sicher­heits­lücke die Angriffs­fläche für Malware ver­ringert wird.

Also: Die Kirche bitte im Dorf lassen!
Das Buerger-CERT des BSI emp­fiehlt als Work­around eine Zwei-Browser-Stra­­tegie, „um bei aktu­ellen Schwach­stellen eines Browsers ggf. auf das andere Produkt umschalten zu können”.

Das sehe ich weniger kri­tisch als das unvor­be­reitete Umschalten auf einen „unbe­kannten“ Browser. Es ist schon etwas anderes, wenn man sich im Alter­na­tiv­browser ebenso gut mit der Kon­fi­gu­ration und den Sicher­heits­ein­stel­lungen ver­traut gemacht hat, wie beim Standard-Browser. Wer hek­tisch ein neues Pro­gramm ein­setzt, macht mit­unter den Bock zum Gärtner. Und das ist nicht gut!

Durch die Schlüs­sel­funktion, die ein Browser ein­nimmt, ist es absolut sinnvoll, eine Alter­native in petto zu haben, wenn der Standard-Browser mal wieder eine Lücke auf­weist. Dies gilt übrigens in gleicher Weise für alle anderen Browser, nicht nur für den IE!

Ein wei­terer wich­tiger Aspekt ist, dass ein Angreifer die gleichen Benut­zer­rechte wie der aktuelle Benutzer erlangen kann (Quelle: Microsoft).  Wer also noto­risch als Admin im Internet unterwegs ist, setzt sich einer grö­ßeren Gefahr aus, als ein Benutzer mit einem „ein­ge­schränkten Konto“.

Generell: Was können Sie tun?

  • Jeder Anwender gut beraten, zunächst einmal nicht als Admin ins Internet zu gehen, zumal gerade im Social Web immer voll­wertige Pro­gramme im Browser aus­ge­führt werden.
  • Sicher­heits-Updates sollten immer und von allen Pro­grammen ein­ge­spielt und das End­gerät damit auf dem aktu­ellen Stand sein.
  • Und zu guter Letzt sollten auch Firewall und Viren­scanner auf dem aktu­ellen Stand sein. Nicht nur im Hin­blick auf Updates, sondern bzgl. Ihrer Kon­fi­gu­ration.

„Managed Security Ser­vices“ sind dabei besonders hilf­reich, da diese Anbieter zwar nicht voll­ständig das Aus­nutzen der Lücke ver­hindern, jedoch die Gefahr einer Infektion auf ein Minimum redu­zieren und unter Umständen deren Ver­bindung zurück ins Internet unter­binden können.

Zu guter Letzt: Microsoft kündigt für Freitag, den 21. Sep­tember 2012 ab ca. 19 Uhr deut­scher Zeit ein Security Update an.

P.S.:
Für die Aus­führung ist scheinbar ein I‑Frame erfor­derlich, also ein alter Bekannter, wenn es um Drive-By-Down­­loads geht.

Das Fix It ist kein Patch – Ein Work­around ist eben keine Lösung
Das Fix It hat die Größe von etwa 1 MByte und funk­tio­niert nur mit den 32-Bit-Ver­­­sionen des Internet Explorer. Zuvor müssen alle bis­he­rigen Updates für Micro­softs Browser instal­liert worden sein. Die Instal­lation des Fix It erfolgt in eng­li­scher Sprache, ist aber auch für deutsche Ver­sionen des Internet Explorer gedacht. Ein Update mit dem Patch soll ab dem 21. Sep­tember 2012 über Windows Update bereit­ge­stellt werden (Quelle: golem.de). 

Gefahr durch HTML-Mails
Stan­dard­mäßig öffnen Microsoft Outlook, Outlook Express und Windows Mail E‑Mails in ein­ge­schränkten Zonen. Aller­dings könnten dort geöffnete Links in HTML-E-Mails auch für solche Angriffe genutzt werden, heißt es im Advisory. Bei einer erfolg­reichen Über­nahme erhalte der Angreifer die gleichen Rechte wie der ange­meldete Nutzer. Microsoft rät daher, die Benut­zer­rechte ein­zu­schränken (Quelle: golem.de).

Bild:  © Günter Havlena / pixelio.de
 

4 Kommentare zu Aktuelle Sicherheitslücke im IE

Schreiben Sie einen Kommentar zu Frager Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.