News

XSS-Sicherheitslücke im IE reizt Phisher

Microsoft hat die Öffentlichkeit über eine kürzlich gefundene Sicherheitslücke im Internet Explorer 11 informiert und arbeitet bereits an einem entsprechenden Patch. Die Schwachstelle gehört zu dem Typ XSS (Cross-Site-Scripting) und sie eröffnet Angreifern die Möglichkeit, Informationen zu stehlen oder Code beim Anschauen von Websites im Browser unter Windows 7 und 8.1 einzuschleusen.

Informationen über den Bug wurden Ende letzter Woche auf der Website der Mailingliste Full Disclosure veröffentlicht; der Sicherheitsforscher David Leo von der britischen Beraterfirma Deusen hat seinen Fund nicht nur mit den Abonnenten geteilt, sondern seine Mail auch mit einem Link versehen, der zu einer Demonstration des Content-Austausches aus einer externen Domain führt. Dieses absolut harmlose PoC wird anhand der Nachrichten-Website The Daily Mail vorgeführt: Bei einem Besuch auf einer legitimen Seite im IE 11 wird der Anwender mittels eines Dialogfensters um Bestätigung gebeten; 7 Sekunden, nachdem dieses geschlossen wurde, erscheint auf dieser Seite die Signatur „Hacked by Deusen“.

Obwohl für den Austausch des Contents eine externe Domain verwendet wird, bleibt der Link in der Adresszeile des Browsers unverändert – http:///www.dailymail.co.uk/home/index.html – was den Nutzer leicht in die Irre führen kann. Wenn nun aber im Rahmen der XSS-Attacke keine Nachrichten-Site, sondern eine Bank-Website angegriffen wird, so kann der Online-Verbrecher den Besucher zum Ausfüllen eines gefälschten Formulars auffordern und ihm problemlos die ihn interessierenden Daten entlocken.

Die Sicherheitslücke hängt mit einer inkorrekten Verarbeitung von iFrame zusammen und ermöglicht die Umgehung der Same-Origin-Policy (SOP) – ein Schlüsselmechanismus verschiedener Web-Anwendungen, der es Skripten erlaubt, die sich auf den Seiten einer Website befinden, das DOM-Interface des jeweils anderen zu nutzen und der den Zugriff auf das DOM anderer Websites verhindert. Im Grunde verhindert die SOP Manipulationen am Inhalt einer Website bei der Ausführung von Code, der über iFrame geladen wird.

Ein Exploit dieser Schwachstelle ermöglicht laut Joey Fowler, Senior Security Engineer bei Tumblr, der am Montag über Leos Posting berichtete, auch die Umgehung der Standardbeschränkungen in der Kommunikation von HTTP zu HTTPS. „Wenn eine über Frame geladene Seite nicht den Header X-Frame-Options (mit dem Wert DENY oder SAMEORIGIN) enthält, so ist die Ausführung des Codes erfolgreich“, erläutert Fowler.

Microsoft hat bisher noch keinen Termin für die Veröffentlichung des Patches festgelegt, und Leo versäumte es nicht darauf hinzuweisen, dass das Unternehmen mehr als drei Monate Zeit gehabt habe, die Lage zu verbessern. Der erste Bericht von Deusen über diesen Bug wurde dem Softwarehersteller am 13. Oktober 2014 zugeschickt.

Aktive Exploits wurden laut Microsoft bisher noch nicht entdeckt, doch bis zu dem Erscheinen des Patches wird den Nutzern des neusten IE empfohlen, eine angemessene Wachsamkeit walten zu lassen. „Um diese Sicherheitslücke auszunutzen, muss ein Cyberkrimineller den Anwender zunächst einmal auf eine schädliche Website locken, was normalerweise mit Hilfe von Phishing versucht wird“, erklärt ein Vertreter von Microsoft. „Vor Phishing-Sites kann SmartScreen schützen, das in die neusten Versionen des Internet Explorers integriert und standardmäßig aktiviert ist. Wie auch schon in der Vergangenheit empfehlen wir unseren Kunden eindringlich, keine Links von unzuverlässigen Quellen zu öffnen und nur vertrauenswürdige Sites zu besuchen und sich beim Verlassen von Websites stets abzumelden, um so zum Schutz der eigenen Informationen beizutragen.“

Quelle:        Threatpost

XSS-Sicherheitslücke im IE reizt Phisher

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach