Kritische Schwachstellen in zwei bzw. drei Produkten werden zur Zeit im Rahmen von Drive-by-Infektionen bzw. für deren Vorbereitung ausgenutzt: Cyberkriminelle dringen über Schwachstellen im FCKEditor, der auch in ColdFusion enthalten ist, in ColdFusion-Websites ein und präparieren diese für Drive-by-Infektionen. Und eine 0-Day-Schwachstelle in Windows wird im Rahmen von Drive-by-Infektionen ausgenutzt, um Code auf den Rechnern der Besucher präparierter Websites einzuschleusen.

Beide Angriffe haben zwar, zumindest soweit bisher bekannt ist, nichts miteinander zu tun, beide zeigen aber deutlich die Gefahr von Drive-by-Infektionen: Sowohl für harmlose Websites, die dafür kompromittiert werden, als auch für die Rechner der Besucher solcher Websites, die darüber kompromittiert werden.

FCKEditor und ColdFusion

Bereits Ende der vorigen Woche wurde über Angriffe auf ColdFusion-Websites berichtet, am Sonntag wurden weitere Details bekannt. Mehrere Schwachstellen im FCKEditor erlauben das Speichern beliebiger Dateien in beliebige Verzeichnisse. Die Cyberkriminellen nutzen das aus, um eine mit den bekannten PHP-Shells vergleichbare ColdFusion-Shell einzuschleusen und die Website danach für Drive-by-Infektionen zu präparieren.

Der FCKEditor ist in ColdFusion 8 enthalten und der zugehörige Connector per Default aktiviert. Außerdem werden Schwachstellen in FCKEditor-Versionen ausgenutzt, die von ColdFusion-Anwendungen von Drittherstellern installiert wurden. Laut Handler's Diary des ISC gehören z.B. ältere Versionen der E-Commerce-Anwendung CFWebstore dazu.

Workarounds und Updates

Die Schwachstellen wurden in FCKEditor 2.6.4.1 behoben, ebenfalls von der Schwachstelle betroffen sind z.B. Knowledgeroot und GForge, die betroffene Versionen des FCKEditors enthalten. Adobe untersucht das Problem in ColdFusion noch und hat ein Update für die kommende Woche angekündigt sowie Workarounds genannt.

0-Day-Schwachstelle in Windows

Microsoft hat ein Security Advisory zu einer 0-Day-Schwachstelle in Windows veröffentlicht. Eine Pufferüberlauf-Schwachstelle im Microsoft Video ActiveX-Control msvidctl.dll erlaubt Ausführung beliebigen Codes, wenn eine entsprechend präparierte Website angesurft wird. Betroffen sind Windows XP SP2 und SP3 und Server 2003 SP2, wenn der Internet Explorer 6 oder 7 verwendet wird. Als Workaround kann das Kill-Bit für das ActiveX-Control gesetzt werden, Microsoft hat ein Online-Tool dafür bereit gestellt.

In Microsofts Security Research & Defense Blog gibt es einige wenige Details zur Schwachstelle. Demnach ist das MPEG2TuneRequest-Objekt betroffen und die Schwachstelle kann nicht über HTML-E-Mails ausgenutzt werden, da darüber keine ActiveX-Controls aufgerufen werden können. Laut einem Blogeintrag von Symantec handelt es sich um eine Pufferüberlauf-Schwachstelle, die über den Parameter data des ActiveX-Objekts BDATuner.MPEG2TuneRequest.1 ausgenutzt wird. Auf SecurityFocus wurde ein Exploit für die Schwachstelle veröffentlicht.

Drive-by-Infektionen

Die Schwachstelle wird im Rahmen von Drive-by-Infektionen verwendet, wie z.B. die Websense Security Labs und Symantec berichten. Roger Thompson von AVG schreibt zu den Exploits "At this point, it seems to work _really_ well, [...]". Im Blog der McAfee Avert Labs gibt es eine anschauliche Beschreibung der bisher hauptsächlich in China beobachteten Drive-by-Infektionen. Derzufolge achtet der eingesetzte Exploit-Kit darauf, das die Besucher nicht von .gov.cn- oder .edu.cn-Domains kommen. Anscheinend will man es sich nicht mit der eigenen Regierung verderben, indem man deren Rechner übernimmt.

Die Schadsoftware

Der die Schwachstelle ausnutzende Exploit wird von Symantec als Downloader.Fostrem bezeichnet, der von diesem nachgeladene Schadcode durch generische Erkennungsmuster als Trojan Horse, Backdoor.Trojan, Infostealer und Downloader erkannt. Bei Sophos wird der Exploit als Exp/VidCtl-A bezeichnet, außerdem ist er dort als Exploit-MSDirectShow.b bekannt. Diesen Namen verwendet auch McAfee.

Alte Schwachstelle?

Microsoft hat im Security Advisory für die Schwachstelle die CVE-ID CVE-2008-0015 angegeben. Die wurde bereits am 13. Dezember 2007 zugewiesen. Sollte diese Schwachstelle wirklich schon so lange bei Microsoft bekannt sein? Da stellt sich doch die Frage, wieso sie noch nicht behoben wurde oder warum nicht wenigstens mit einem der vielen seither erschienen Security-Bulletins das Kill-Bit für das betroffene ActiveX-Control gesetzt wurde. Immerhin wird das ja wohl nicht benötigt, wie Microsoft im Security Advisory selbst schreibt: "Our investigation has shown that there are no by-design uses for this ActiveX Control in Internet Explorer..."

Informationen auf dänisch und chinesisch

Weitere Informationen zur Schwachstelle bzw. den Drive-by-Infektionen sollen folgende Seiten enthalten, die ich mangels Sprachkenntnissen aber nicht überprüfen kann: Graham Cluley verweist auf eine dänische Seite der CSIS Security Group sowie deren englische Übersetzung durch Google Translate (dessen deutsche Version nur als Witz brauchbar ist). Secunia verweist auf zwei chinesische Blogeinträge im KingSoft Internet Security Blog: Nummer 225 und Nummer 226. Was Google Translate daraus macht, spottet jeder Beschreibung.

Fazit

Alle Schwachstellen sind sehr gefährlich, zumal sie bereits für Angriffe ausgenutzt werden. Also müssen sie schnell behoben werden. Aber wie?

Am einfachsten haben es die Anwender des FCKEditors, die müssen "nur" das Update installieren. ColdFusion-8-Nutzer müssen warten, bis Adobe ein Update veröffentlicht, und solange auf die Workarounds ausweichen. Betreiber von ColdFusion-Websites sollten prüfen, ob evtl. ein Dritthersteller-Programm eine betroffene FCKEditor-Version installiert hat und diese ggf. ersetzen. Im Prinzip gilt das für Betreiber aller Websites: Ist irgendwo eine betroffene FCKEditor-Version installiert, kann darüber sehr wahrscheinlich die Website kompromittiert werden. Das zur Zeit ColdFusion-Websites das bevorzugte Ziel sind, liegt sehr wahrscheinlich am per Default aktivierten Connector in ColdFusion 8: Alle damit erstellten Websites sind dadurch angreifbar und leicht zu findende Opfer.

Windows-Nutzer sollten möglichst bald das Kill-Bit für das betroffene ActiveX-Control setzen, am einfachsten geht das über das Online-Tool. Wann Microsoft ein Update veröffentlichen wird, ist nicht bekannt.

Carsten Eilers

Einträge im Bereich "Security aktuell":
Schwachstellen im FCKEditor
Schwachstelle in ColdFusion
Schwachstelle in Windows