Die 0-Day-Schwachstelle im Internet Explorer und die Angriffe auf Google und weitere Unternehmen - was sonst sollte nach dieser Woche das Thema des Standpunkt Sicherheit sein?

Die Chinesen kommen, Google will gehen...

Los ging es am Mittwoch, als erste Meldungen über die chinesischen Cyber-Angriffe auf Google und andere Unternehmen die Runde machten. Bei Google fühlt man sich auf die Zehen getreten und ans Bein gepinkelt, weil die Chinesen versuchten, Betriebsgeheimnisse auszuspionieren. Das ist ja auch ein Unding: Da zensiert man denen nun schon die Suchergebnisse, ist wahrscheinlich auch anderweitig bei der Durchsetzung der chinesischen Gesetze behilflich - und dann fangen diese undankbaren Kommunisten einfach an zu spionieren. Das geht natürlich nicht. "Mama, Mama, die haben meine Sandburg kaputt gemacht, mit denen Spiele ich nicht mehr" - so was kennt man aus dem Kindergarten und vom Kinderspielplatz, Google macht das eine Nummer größer und rennt zur Mama Außenministerin, und mit den Chinesen spielen will man auch nicht mehr. Jedenfalls nicht in China. Fein - nur: Was, bitte schön, soll das bewirken? OK, wenn Google in China keine Niederlassung mehr hat, kann es nicht passieren, dass eine LKW-Kolonne vorm Gebäude stoppt, eine Kompanie der chinesischen Armee rein stürmt und die Rechner rausträgt. Sollte man davor Angst haben, ist der Rückzug natürlich angebracht. Ansonsten ist er aber ziemlich nutzlos, denn weitere Angriffe auf die Google-Netze verhindert er bestimmt nicht. Dazu müsste Google seine lokalen Netze schon vollständig vom Internet abschotten. Ein Suchmaschinenbetreiber, dessen lokale Netze keinen Internetanschluss haben - interessante Vorstellung, oder? Die Angst vor weiteren Angriffen oder die Entrüstung über diesen Angriff halte ich für eine Ausrede. Ich vermute, dass man da die gute Gelegenheit genutzt hat, um sich aus einem wenig erfolgversprechenden Markt zurück zu ziehen, die Chinesen haben schließlich eine eigene Suchmaschine, und da die Ergebnisse sowieso zensiert sind, dürfte es für die Nutzer ziemlich egal sein, ob sie nun von Google oder Baidu die erlaubten Seiten präsentiert bekommen.

Adobe Opfer des Adobe Reader?

Kurz nach Google gab sich Adobe als weiteres Opfer zu erkennen. Es kamen Spekulationen auf, dass die im Dezember bekannt gewordenen 0-Day-Schwachstellen in Adobe Reader und Acrobat für die Angriffe genutzt worden sein könnten. Adobe als Opfer der eigenen Schwachstellen, unter denen sonst immer nur der Rest der Welt zu leiden hat, das hätte was. Inzwischen hat Adobe klar gestellt, das nach bisherigen Kenntnisstand keine Adobe-Technologien für die Angriffe verwendet wurden. Wieso eigentlich "Adobe-Technologien"? Jeder normale Mensch hätte doch von Adobe-Programmen gesprochen, oder? So vorsichtig drücken sich normalerweise nur Anwälte aus. Darf ich mal raten? Wenn doch noch raus kommt, dass eine Schwachstelle im Adobe Reader mit im Spiel war, dann dürfte die, wie meistens in letzter Zeit, im JavaScript-Bereich liegen, und das ist dann zufällig keine "Adobe-Technologie"? Nun ja, warten wir mal ab, was noch raus kommt.

Neue Hauptverdächtige: Windows und/oder Internet Explorer

Wenn der Trojaner nicht über den Adobe Reader eingeschleust wurde, bleiben eigentlich nur zwei Verdächtige über: Windows oder der Internet Explorer. Und so war es auch: Freitag meldete Microsoft eine 0-Day-Schwachstelle im Internet Explorer, die im Rahmen der "Operation Aurora" genannten Angriffe auf Google und andere Unternehmen ausgenutzt wurde. Kurz darauf warnte das Bundesamt für Sicherheit in der Informationstechnik vor der Nutzung des Internet Explorer, und am Wochenende wurde dann sowohl der Original-Exploit als auch z.B. eine angepasste Testversion veröffentlicht.

Im Blog von Microsofts Security Research & Defense wurde eine Bewertung der Gefährdung durch die Schwachstelle veröffentlicht. Konkret gefährdet sieht man dort den Internet Explorer 6 unter Windows 2000 und XP. Für den Internet Explorer 7 unter Windows XP hält man einen Angriff für möglich, unter Windows Vista verhindert der "IE Protected Mode" die Ausführung des aktuellen Exploits. Das mit grün zu markieren, ist mutig - immerhin könnte sich ja ein Cyberkrimineller veranlasst sehen, Microsoft zu beweisen, dass man die Schwachstelle trotzdem ausnutzen kann. Das gleiche gilt für den Internet Explorer 8: Unter Windows XP verhindert DEP das Funktionieren des Exploits, unter Vista und 7 "IE Protected Mode" und DEP. Hoffentlich. Auch die Schutzwirkung eines gesetzten Killbits für ActiveX-Controls hat sich ja schon mal als Illusion heraus gestellt.

Volle Deckung

Im Laufe der nächsten Tage dürfte das Internet für den Internet Explorer, zumindest in Version 6, ein ziemlich gefährlicher Lebensraum werden. Aber sowas hatte ich ja schon am Freitag vermutet. Die entscheidende Frage ist daher eigentlich nicht mehr, ob man einen anderen Browser verwendet, sondern welchen. Weder für Firefox 3.0 und 3.5 noch für Opera oder Safari sind zur Zeit offene Schwachstellen bekannt. Was natürlich nicht ausschließt, dass ausgerechnet im gewählten Browser morgen eine kritische Schwachstelle gefunden und ausgenutzt wird - aber das gilt immer und für jedes Programm. Zur Zeit jedenfalls hat man aus Sicherheitssicht die freie Auswahl. Theoretisch könnte man auch den Internet Explorer 8 nehmen und hoffen, dass wirklich kein Angriff über die Schwachstelle möglich ist. Aber wenn ich die Wahl zwischen einem Browser mit bekannter Schwachstelle und mehreren ohne habe, fällt mir beim besten Willen kein Grund ein, den mit der bekannten Schwachstelle zu nehmen - egal wie unwahrscheinlich die Ausnutzbarkeit ist.

Angriffe - wie und wo?

Bei den Angriffen muss man zwischen drei Arten unterscheiden: Da sind zum einen die gezielten Angriffe auf Google und andere Unternehmen. Die laufen meist nach dem Muster "Social Engineering und Trojaner" oder "Social Engineering und präparierte Webseite" ab: Sie bekommen eine gefälschte Mail, die angeblich und augenscheinlich von einem Vorgesetzten, einen Mitarbeiter der IT-Abteilung, einem Kollegen, ... stammt, und in der Sie aufgefordert werden, ein Programm zu installieren, eine PDF-Datei zu öffnen oder sich mal etwas auf einer Webseite anzusehen. Das Programm enthält den Schadcode direkt, die PDF-Datei nutzt eine Schwachstelle im Adobe Reader zum Einschleusen des Schadcodes aus, und auf der Webseite wird der Schadocde über irgend eine Schwachstelle, in diesem Fall die im Internet Explorer, eingeschleust. Zum anderen gibt es die Drive-by-Infektionen: Auf einer eigentlich harmlosen Website wird JavaScript-Code, meist in einem unsichtbaren iframe, eingeschleust, der über mehr oder weniger viele Stationen auf eine Seite weiterleitet, auf der dann über JavaScript-Code versucht wird, über verschiedene Schwachstellen wie die im Internet Explorer, im Adobe Reader oder auch z.B. in Media-Playern, Schadcode einzuschleusen. Gelangen Sie beim normalen Surfen auf so eine Seite, und ist auf Ihrem Rechner ein anfälliges Programm installiert, haben Sie danach den Schadcode auf Ihrem Rechner. Die dritte Art von Angriffen erfolgt über von sich aus bösartige Seiten, die über Suchmaschinenoptimierung in den Suchergebnissen zu aktuellen Themen nach oben gepusht werden und dann genau wie bei Drive-by-Infektionen Schadcode einschleusen,

Im allgemeinen wird zuerst nur ein kleiner Downloader eingeschleust, der dann weiteren Code nachlädt. Über den können dann im Fall der gezielten Angriffe z.B. Zugangsdaten, vertrauliche Dokumente etc. ausspioniert werden, im Fall von Drive-by-Infektionen werden oft statt Daten sammelnden Trojanern auch Fake-Virenscanner installiert.

Was kommt?

Um die Schwachstelle auszunutzen, sind kaum Vorbereitungen notwendig. Die benötigte Infrastruktur ist bereits vorhanden, es gibt im Internet ständig zigtausende von Seiten, die für Drive-by-Infektionen präpariert wurden und die entweder selbst Code einschleusen oder die Besucher auf Seiten lotsen, auf denen das dann passiert. Dort zusätzlich den Code zum Ausnutzen der IE-Schwachstelle zu installieren, dürfte sich in wenigen Minuten erledigen lassen. Danach wird dann einfach ein weiterer Exploit ausprobiert, zusätzlich zu denen, die sowieso schon durchprobiert werden. Da der Exploit-Code spätestens seit Samstag allgemein bekannt ist, dürften inzwischen die ersten Seiten entsprechend erweitert worden sein. Die Cyberkriminellen müssen ja nur den vom Exploit eingeschleusten Code an ihre Bedürfnisse anpassen bzw. durch ihren eigenen Code austauschen. Und dann: Jubel, Trubel, Heiterkeit auf Seiten der Kriminellen, Heulen und Zähneknirschen bei den Opfern. Egal ob Daten sammelnder Trojaner, Spam versendender Bot oder Geld erschleichender Fake-Virenscanner - nichts davom möchte man auf seinem Rechner haben. Darum: Weg mit dem Internet Explorer 6 (die Webdesigner und -entwickler werden es auch danken), 7 und am besten auch 8, und her mit einer sicheren Alternative. Ob die dann nach dem Erscheinen eines Patches wieder gegen einen aktuellen Internet Explorer ausgetauscht wird, kann man sich dann ja in Ruhe überlegen.