Das Sicherheitsunternehmen FireEye hat auf einer gehackten US-amerikanischen Website Exploit-Code entdeckt, der zwei bis dahin nicht bekannte Schwachstellen im Internet Explorer ausnutzt. Dabei wird in einem klassischen Drive-by Download Malware eingeschleust. Nach der Entdeckung in der letzten Woche hat FireEye Kontakt mit Microsoft aufgenommen. Nach Untersuchung des Falles hat der Konzern offiziell bestätigt, dass es sich um eine Microsoft bereits bekannte ActiveX-Schwachstelle handelt.
Der Angriff gilt nach Einschätzung der FireEye-Forscher gezielt einem bestimmten Personenkreis, der die gehackte Website mit hoher Wahrscheinlichkeit besucht. Solche Angriffe werden auch als "Watering-Hole"-Attacken bezeichnet. Dieser Terminus ist aus der Taktik von Raubtieren und Jägern abgeleitet, die ihrer Beute an der Wasserstelle auflauern.
Der eingeschleuste Schädling ermöglicht es dem Angreifer die Kontrolle über den infizierten PC zu übernehmen. Er verbleibt im Arbeitsspeicher und wird nicht auf die Festplatte geschrieben. So ist der Rechner zwar nach einem Neustart wieder sauber, der Angriff hinterlässt jedoch kaum Spuren auf dem PC des Opfers.
Der Angriff funktioniert mit dem IE 8 unter Windows XP und dem IE 9 unter Windows 7. Die anfällige Komponente ist die Systembibliothek MSVCRT.DLL, eine Laufzeitbibliothek für Visual C. Wie Microsofts Dustin Childs im MSRC Blog schreibt, wird die ausgenutzte Schwachstelle durch das am 12. November im Rahmen des Patch Day zu veröffentlichende Sicherheits-Update zum "Bulletin 3" beseitigt.