Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung von FRAME, IFRAME und EMBED-Elementen des IE Version 6 unter Windows 2000 und XP Service Pack 1 kann dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Benutzers auf dem beherbergenden System auszuführen. Es sind bereits diverse Varianten des Mydoom-Wurmes in Umlauf, die diese Schwachstelle aktiv zur Infektion verwundbarer Systeme ausnutzen. Microsoft stellt mittlerweile Patches bereit, die diese Schwachstelle beheben.

Betroffene Systeme

• Internet Explorer 6 für Windows 98
• Internet Explorer 6 für Windows 98 Second Edition
• Internet Explorer 6 für Windows Millenium Edition (Me)
• Internet Explorer 6 für Windows NT Server 4.0 Terminal Server Edition Service Pack 6
• Internet Explorer 6 für Windows NT Server 4.0 Service Pack 6a
• Internet Explorer 6 für Windows 2000 Service Pack 3
• Internet Explorer 6 für Windows 2000 Service Pack 4
• Internet Explorer 6 für Windows XP
• Internet Explorer 6 für Windows XP Service Pack 1
• Internet Explorer 6 für Windows XP 64-Bit Edition Service Pack 1

Nicht betroffene Systeme
Nach derzeitigem Kenntnisstand:

• Internet Explorer 6 für Windows XP Service Pack 2
• Internet Explorer 6 für Windows XP 64-Bit Edition Version 2003
• Internet Explorer 6 für Windows Server 2003
• Internet Explorer 6 für Windows Server 2003 64-Bit Edition

Einfallstor
HTML-E-Mail oder -Datei oder Teile davon, die <FRAME>-, <IFRAME> oder <EMBED>-Elementen mit speziell präparierten SRC- oder NAME-Attributen enthalten

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des betrachtdenden Benutzers
(remote user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung der SRC- und NAME-Attribute von <FRAME>, <IFRAME> und <EMBED>-Elementen des Internet Explorers Version 6 unter Windows 2000 und XP Service Pack 1 kann von einem Angreifer durch Manipulation des Heaps dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des IE-Benutzers auf dem beherbergenden System auszuführen. Für eine erfolgreiche Ausnutzung ist dabei ausreichend, wenn ein Benutzer eine entsprechende präparierte Datei mit einem verwundbaren IE betrachtet. Die Datei kann dabei z.B. über das Web, eine HTML-E-Mail oder einen beliebigen anderen Kanal zum Browser gelangen. Unter Microsoft Windows Betriebssystemen ist voreingestellt, daß IE zum Betrachten von HTML-Dateien verwendet wird.

Nach derzeitigem Kenntnisstand behebt die Installation des Service Packs 2 das Problem unter Windows XP. Für alle anderen betroffenen Systeme ist zur Behebung des Problems die Installation u.a. Patches erforderlich.

Es sind bereits diverse MyDoom-Varianten unterwegs, die diese Schwachstelle zur Infektion verwundbarer Systeme ausnutzen.

Gegenmaßnahmen
Microsoft stellt Patches bereit, die diese Schwachstelle beheben:

• Details sind dem Microsoft Security Bulletin MS04-040 zu entnehmen.
Für Windows XP kann alternativ die
• Installation des Service Pack 2
erfolgen.

Workaround

• Abschaltung von Active Scripting im IE, mindestens für die Zone Internet. Diese Maßnahme erschwert es einem potentiellen Angreifer, den Heap so mit Daten zu beschicken, daß die Ausführung beliebigen Programmcodes ermöglicht wird.
• Konfiguration von Mailreaders in der Weise, daß Nachrichten, die HTML-Code beinhalten nicht automatisch mittels des Internet Explorers angezeigt werden
• Abschalten der Voransicht (Preview Panel)
• Konfiguration von Inhaltsfiltern in der Weise, daß <FRAME>-, <IFRAME> und <EMBED>-Elemente gefiltert werden.
• Aktuelle Virenfilter sollten mittlerweile die diversen Varianten des diese Schwachstelle ausnutzenden MyDoom-Wurmes (s. Abschnitt "Exploit-Status") erkennen. Daher ist die Aktualisierung eingesetzter Virenfilter dringend anzuraten.

Exploit-Status
Es sind bereits Varianten des MyDoom-Wurmes in Umlauf, die diese Schwachstelle zur Kompromittierung verwundbarer Systeme ausnutzen. Diverse Hersteller von Antivirus-Software haben bereits reagiert und bieten Updates sowie Beschreibungen an:

• F-Secure: MyDoom.AI/Bofra.A
• F-Secure: MyDoom.AH/Bofra.B
• F-Secure: MyDoom.AG/Bofra.C
• McAfee: W32/MyDoom.AH@MM
• Symantec: MyDoom.AH
• Symantec: MyDoom.AI
• Symantec: MyDoom.AJ

Vulnerability ID

• CERT/CC: VU#842160
• CAN-2004-1050

Revisionen dieser Meldung

• V 1.0 (2004-11-11)
• V 1.1 (2004-12-02): Patches von Microsoft verfügbar

Weitere Information zu diesem Thema

• Microsoft Security Bulletin Summary for December, 2004

Weitere Artikel zu diesem Thema:

• [MS/Generic] E-Mail-Wurm Novarg/Mydoom verbreitet sich massiv (2004-01-27)
  Der E-Mail-Wurm "Novarg/Mydoom" verbreitet sich derzeit rasant. Nach Infektion eines Systems installiert der Wurm eine Hintertür im befallenen System, die es potentiell in eine Angriffsplattform gegen weitere Systeme verwandelt. Die derzeit in Umlauf befindliche Version wird von befallenen Systemen aus am 2004-02-01 einen DoS-Angriff gegen Systeme der SCO-Group starten. Diese Version wird am 2004-02-12 seine Weiterverbreitung selbst stoppen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/