En ny og hidtil ukendt sårbarhed i Microsoft Internet Explorer har været misbrugt til at plante en informationstyv på computere med enten Microsoft Internet Explorer 6 eller 7, der besøger en fjendtlig webside. Microsoft Internet Explorer 8 er ikke sårbar.

Microsoft har samme dag, som der er frigivet månedlige opdateringer, også frigivet en ny security bulletin, som advarer mod en svaghed i Microsoft Internet Explorer 6 og 7, der misbruges aktivt til at tvangsfodre systemer med en ZeuS/Zbot informationstyv.

Slettet objekt

Angrebet foregår blandt andet fra en drive-by webside, hvor et skadeligt script er
indlejret. Sårbarheden viser sig, når en invalid pointer kaldes fra Microsoft Internet Explorer, efter et objekt er blevet slettet. Det vil sige, at den forsøger at hente noget, der ikke findes. Det skaber en dinglende pointer, der kan misbruges til at afvikle ondsindet kode under Microsoft Internet Explorer 6 og 7 igennem det fejlbehæftede bibliotek "iepeers.dll".

Der findes endnu ingen sikkerhedsopdatering fra Microsoft, som løser dette problem, men man kan afbøje denne risiko ved at opgradere til Microsoft Internet Explorer 8, eller alternativt deaktivere active scripting fra websider, som du ikke har 100 procent tillid til. Dette gøres i sikkerhedscentret i Kontrolpanelet.
Er man mere teknisk indrettet, kan man også med fordel placere en ACL på komponeten "iepeers.dll", der er omdrejningspunkt i sårbarheden.

I skrivende stund leveres den skadelige payload via følgende URL (sløret af CSIS grundet exploitets alvorlighed):
www.topix2 1century.com/military/[fjernet af CSIS]/20100307.htm.

Henter malware

Bibliotektet "wshipl.dll" injekter sig i Microsoft Internet Explorer og opnår derigennem adgang til internettet med henblik på at hente supplerende malware.

Scriptet på websiden er obfuskeret, men afvikler shellkode der dropper en binær fil til systemet, som ikke fanges af ret mange antivirus-produkter.

Den pågældende download server er allerede blevet nedtaget, men dropserveren, hvortil indsamlede data fra inficerede maskiner skal transporteres, og kontrolleres via en ZeuS C&C (Command & Control) server, er fortsat aktiv.

In the wild

Der er indtil videre tale om målrettede og begrænsede angreb, men denne 0-dags sårbarhed er aktiv "in the wild", og CSIS formoder på den baggrund, at det vil sætte skub i yderligere og mere omfattende misbrug i løbet af de kommende uger.

Det er ikke umuligt, at denne 0-dags sårbarhed vil tvinge Microsoft til at gå "udenfor cyklus" og frigive en ekstraordinær opdatering, men det afhænger meget af hvor offentlig kendt dette exploit bliver og dels i hvor høj grad det forsøges misbrugt mod Microsoft Internet Explorer 6 og 7 brugere. Normalt sender Microsoft kun rettelser ud den 2. tirsdag i hver måned.

I skrivende stund opfanges selve exploit koden ikke af diverse antivirusløsninger, mens den skadelige payload (dropperen) fanges af TDC's Sikkerhedspakke.

Kilde: CSIS Security Group