[swissboy]

Mögliche neue Sicherheitslücke im IE

Zitat

Eine bislang noch unbekannte Sicherheitslücke im Internet Explorer will das französische Sicherheitsportal FrSIRT entdeckt haben. Es beruft sich dabei auf den Hinweis eines nicht genannten Tippgebers. Mittels einer speziell präparierten Web-Seite soll ein Angreifer die vollständige Kontrolle über den Rechner erlangen können.

Der Fehler soll in einer Datei mit dem Namen "msdds.dll" (Microsoft Design Tools Diagram Surface) stecken. Wird diese DLL (dynamisch ladbare Programmbibliothek) als ActiveX-Steuerelement aufgerufen, soll es zu einem Speicherfehler kommen, der durch einen Angreifer ausgenutzt werden kann. Der Demo-Exploit öffnet eine Hintertür auf dem Port 28876.

Die Datei msdds.dll ist auf einem Rechner mit Windows XP oder Windows 2000 nicht standardmäßig vorhanden. Sie gehört zum Entwicklungssystem "Visual Studio .NET". Nach Angaben von FrSIRT war Visual Studio auf dem Test-PC mit Windows XP SP2 jedoch nicht installiert, wohl aber MS Office 2002. Möglicherweise ist die Datei auch in einigen Fassungen des NET-Frameworks enthalten. Dieses muss bei verschiedenen mit Visual Studio entwickelten Programmen installiert werden, damit sie laufen.

Microsoft bestätigt bislang nur den Erhalt der Meldung und dass man das Problem untersuche. Gegebenenfalls werde Microsoft eine Sicherheitsempfehlung veröffentlichen. Es sind im Moment noch keine Websites bekannt, die diesen so genannten "0-Day-Exploit" einsetzen.

Quelle PC-Welt
FrSIRT Bulletin


Kommentar: Ich konnte die Datei "msdds.dll" auf meiner gesammten Festplatte nicht finden. Wer danach sucht sollte aber nicht nur den Windows-Ordner und Unterverzeichnisse durchsuchen, sondern auch den Programme-Ordner und Unterverzeichnisse. Panikmache ist wohl nicht angesagt, die meisten Anwender dürften die Datei "msdds.dll" auf ihrem System eh nicht finden. Wer sie trotzdem findet kann sie ja mal vorsichtshalber als Workaround die Datei umbenennen (z.B. in "msdds.bak").

Dieser Beitrag wurde von swissboy bearbeitet: 18. August 2005 - 14:13

[Rika]

Zitat

Wer sie trotzdem findet kann sie ja mal vorsichtshalber als Workaround die Datei umbenennen

Wie wär's, wenn man einfach das Kill-Bit setzt?
Oder ActiveX im IE ausschaltet, was man sowieso tun muss, da selbst die bereits vorhandenen Controls voller Lücken stecken (mit dem WMP-Control kann beispielsweise die Existenz lokaler Dateien prüfen... seit WMP7 bekannt).

Sich Visual Studi, Visio und MS Project kaputtzumachen halte ich indes für keine gute Idee.

Dieser Beitrag wurde von Rika bearbeitet: 18. August 2005 - 15:06

[swissboy]

Zitat (Rika: 18.08.2005, 16:04)

Wie wär's, wenn man einfach das Kill-Bit setzt?
<{POST_SNAPBACK}>

Wie wär's, wenn du hier eine kurze (wenn möglich einfach verständliche) Anleitung postest, wie das für diesen Fall hier genau zu machen ist?

[Rika]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4FAAB301-CEF6-477c-9F58-F601039E9B78}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6CBE0382-A879-4d2a-8EC3-1F2A43611BA8}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e205bead-692d-11d2-8d1b-006008319779}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e205beb1-692d-11d2-8d1b-006008319779}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e205beb7-692d-11d2-8d1b-006008319779}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e205beba-692d-11d2-8d1b-006008319779}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}]
"Compatibility Flags"=dword:00000400

Wobei ich nicht weiß, welche der zugehörigen Interfaces nun tatsächlich anfällig sind und welche Einträge daher nötig sind.

Aber es ist immer das gleiche, du musst nur die ClassIDs raussuchen.
Das ist übrigens auch der Grund, warum es praktisch unmöglich ist, sämtliche zukünftigen Controls (inklusive der definitiv bösartigen seitens Drittherstellern) zu blacklisten. (was manche (Spybot S&D - Stichwort: Immunisieren) nicht davon abhält, es trotzdem zu versuchen und dabei die Registry zuzumüllen.)
Deshalb ist es besser, ActiveX abzuschalten.

[swissboy]

Sicherheitsspezialisten können neue Lücke im Internet Explorer nicht reproduzieren

Zitat

Nach der Meldung des FrSIRT über die kritische Sicherheitslücke im Internet Explorer haben weltweit Sicherheitspezialisten versucht, das Problem zu reproduzieren. Bislang ist es aber niemandem gelungen, mit dem veröffentlichten Exploit-Code eine Backdoor auf Port 28876 unter Windows XP zu öffnen. Bei mehreren Tests der heise-Security-Redaktion auf XP SP2 mit der verdächtigen Datei msdds.dll -- in der Regel Bestandteil von Office 2003 und Visual Studio -- stürzte der Internet Explorer nur ab oder der Add-on-Manager meldete ein Problem. In einigen Fällen tat sich gar nichts. Ob der Angriff nur bei bestimmten Versionen der DLL oder nur auf französichen XP-Systemen funktioniert, wird auf mehreren Sicherheits-Mailing-Listen noch diskutiert. 

Dabei hat sich auch Jan-Berend Wever, Spezialist für Sicherheitslücken in Microsofts Webbrowser, zu Wort gemeldet und weitere Details veröffentlicht. Demnach ist der Internet Explorer zwar in der Lage, COM-Objekte analog zu ActiveX-Controls über das <object>-Tag einzubinden. Allerdings sind zahlreiche dieser Objekte eigentlich nicht für das Laden in den Internet Explorer vorgesehen. Deshalb treten unter Umständen beim Aufruf Fehler auf, die sich zum Einschleusen und Ausführen von Code missbrauchen lassen.

Dass dies ein Problem darstellt, hat Microsoft bereits Anfang Juli mit dem Objekt javaprxy.dll erfahren müssen. Um die Lücke zu stopfen, veröffentlichte der Softwarekonzern außer der Reihe einen Patch, der das Nachladen des Objektes mittels gesetztem Kill Bit verhindert. Am vergangenen Patch Day legte Microsoft noch nach und setzte per Update MS05-038 das Bit für weitere 40 COM-Objekte, mit denen Remote-Code-Execution möglich war. Offenbar hat man dabei msdds.dll aber nicht berücksichtigt.

Auch Wever hat das neue Problem nicht nachvollziehen können und kritisiert FrSIRT scharf. Diese hätten seine Proof-of-Concept-Exploits für die COM-Lücken schamlos kopiert und verbreitet -- ohne ihn wenigstens in den Credits zu erwähnen.

Wer sicherstellen will, dass der Internet Explorer auch auf seinem System das genannte Objekt nicht laden kann, muss das Kill Bit manuell setzen. Dazu ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ der Schlüssel {EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F} mit dem Eintrag "Compatibility Flags"=dword:00000400 zu erzeugen.

Quelle heise online

[Rika]

Update

Zitat

FrSIRT hat sein Advisory zwischenzeitlich aktualisiert. Demnach ist nur die DLL-Version 7.0.9064.9112 verwundbar, wie sie in Office 2002 und Visual Studio 2002 zu finden ist.

[swissboy]

Zitat (Rika: 18.08.2005, 17:39)

FrSIRT hat sein Advisory zwischenzeitlich aktualisiert. Demnach ist nur die DLL-Version 7.0.9064.9112 verwundbar, wie sie in Office 2002 und Visual Studio 2002 zu finden ist.<{POST_SNAPBACK}>

Hier kann man sich eine aktuellere Version 7.10.3077.0 der msdds.dll herunterladen: http://dldll.com/l.php?i=6401

[Rika]

Du willst offenbar die VisualStudio/Visio/Project-Installation kaputtmachen, oder?

[swissboy]

Zitat (Rika: 18.08.2005, 18:08)

Du willst offenbar die VisualStudio/Visio/Project-Installation kaputtmachen, oder?<{POST_SNAPBACK}>

Man kann ja die alte DLL erst einmal umbenennen. Vielleicht muss man die neue DLL erst noch registrieren. Ich glaube nicht das deshalb mit der neueren DLL VisualStudio, Visio oder Project nicht mehr sauber läuft. Einen Versuch ist es jedenfalls wert.

[Murmel]

Zitat (swissboy: 18.08.2005, 17:52)

Hier kann man sich eine aktuellere Version 7.10.3077.0 der msdds.dll herunterladen<{POST_SNAPBACK}>

Genau diese ist bei mir vorhanden. >7.10.3077.0 und zwar im Ordner >C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSDesigners7

[Rika]

Zitat

Ich glaube nicht das deshalb mit der neueren DLL VisualStudio, Visio oder Project nicht mehr sauber läuft.

Ich schon, weil es sich um ein zentralen Bestandteil der Darstellung von Graphen im Projektmanagement-Teil handelt. Bei Visio und Project bist du damit auf jeden Fall aufgeschmissen, bei VisualStudio geht immerhin der Forms Designer sowie natürlich das WebServices-Modul kaputt.

[swissboy]

Zitat (Rika: 19.08.2005, 16:11)

Ich schon, weil es sich um ein zentralen Bestandteil der Darstellung von Graphen im Projektmanagement-Teil handelt. Bei Visio und Project bist du damit auf jeden Fall aufgeschmissen, bei VisualStudio geht immerhin der Forms Designer sowie natürlich das WebServices-Modul kaputt.<{POST_SNAPBACK}>

Da sind wir nicht der gleichen Meinung, nach meiner Erfahrung sind solche Microsoft DLLs eigentlich immer abwärtskompatibel. Auf PC-Welt wird diese Möglichkeit übrigens auch in Betracht bezogen (siehe Artikel im Betrag #13).

Microsoft hat inzwischen auch ein Security Advisory (906267) zum Thema veröffentlicht.

Dieser Beitrag wurde von swissboy bearbeitet: 19. August 2005 - 16:30

[swissboy]

Die neue IE-Lücke ist relativ schmal

Zitat

Eine neue Sicherheitslücke ist im Internet Explorer entdeckt worden. Informationen darüber veröffentlichte das Sicherheitsportal FrSIRT zusammen mit einem Demo-Exploit. Microsoft sieht sich dadurch genötigt, eine Sicherheitsempfehlung zu veröffentlichen. FrSIRT hat inzwischen die Angaben zu betroffenen Software-Versionen konkretisiert.

Nach Angaben von FrSIRT ist zumindest die Version 7.0.9064.9112 der Datei "msdds.dll" verwundbar. Diese Datei gehört allem Anschein nach zum Entwicklungspaket Microsoft Visual Studio NET 2002 und wird auch mit MS Office 2002 installiert. Diese DLL ist eigentlich nicht dafür vorgehen als ActiveX-Steuerelement über den Internet Explorer angesprochen zu werden.

Das ist auch eine der wenigen konkreten Aussagen in der Sicherheitsempfehlung 906267 von Microsoft. Darin heißt es ferner, diese DLL sei nicht als "Safe for Scripting" ausgewiesen. Weiterhin listet Microsoft eine Reihe von Versionen des Internet Explorers (IE) jeweils in Verbindung mit einer konkreten Windows-Version auf, die verwundbar sein können, falls die Datei msdds.dll auf dem PC installiert ist. Diese Liste reicht vom IE 5.01 unter Windows 2000 über IE 5.5 unter Windows ME bis zum IE 6 unter Windows XP mit Service Pack 1 und Windows Server 2003.

Das Internet Storm Center des SANS-Instituts beschreibt einen Weg die potenzielle Bedrohung auszuschalten. Nach Angabe des ISC sind Versionen der msdds.dll ab 7.10.x nicht verwundbar. Um ein Laden der DLL über ActiveX zu unterbinden, schlägt das ISC den Weg vor, den Microsoft auch bei der Anfang Juni entdeckten Sicherheitslücke in der "javaprxy.dll" beschritten hat.

Man kann das so genannte "Kill-Bit" für diese DLL setzen, so dass ein Aufruf auf dem Internet Explorer nicht mehr möglich ist. Im Rahmen seiner monatlichen Sicherheits-Updates hat Microsoft dieses Kill-Bit für mehrere Dutzend Dateien gesetzt, die nicht zur Ausführung im IE vorgesehen sind. Die msdds.dll hat man wohl übersehen. Das ISC stellt ein kleines Programm bereit, das das Kill-Bit für diese Datei setzt. Eine solche Lösung hätte man eigentlich von Microsoft erwartet - dort ist man jedoch offenbar vorsichtiger und will erstmal die Ergebnisse weiterer Tests abwarten.

Bislang sind noch keine Web-Seiten bekannt, die versuchen diese Schwachstelle auszunutzen. Wer die betroffene Version der msdds.dll auf seinem Rechner hat und keine Möglichkeit, eine neuere Version zu installieren, kann sich durch Setzen des Kill-Bits vor Angriffen auf diese Schwachstelle schützen. Alternativen dazu sind restriktive Sicherheitseinstellungen im Internet Explorer (ActiveX deaktivieren) oder die Nutzung eines anderen Browsers, etwa Firefox oder Opera.

Quelle PC-Welt