XSS-Sicherheitslücke im IE reizt Phisher

Microsoft hat die Öffentlichkeit über eine kürzlich gefundene Sicherheitslücke im Internet Explorer 11 informiert und arbeitet bereits an einem entsprechenden Patch. Die Schwachstelle gehört zu dem Typ XSS (Cross-Site-Scripting) und sie eröffnet Angreifern die Möglichkeit, Informationen zu stehlen oder Code beim Anschauen von Websites im Browser unter Windows 7 und 8.1 einzuschleusen.

Informationen über den Bug wurden Ende letzter Woche auf der Website der Mailingliste Full Disclosure veröffentlicht; der Sicherheitsforscher David Leo von der britischen Beraterfirma Deusen hat seinen Fund nicht nur mit den Abonnenten geteilt, sondern seine Mail auch mit einem Link versehen, der zu einer Demonstration des Content-Austausches aus einer externen Domain führt. Dieses absolut harmlose PoC wird anhand der Nachrichten-Website The Daily Mail vorgeführt: Bei einem Besuch auf einer legitimen Seite im IE 11 wird der Anwender mittels eines Dialogfensters um Bestätigung gebeten; 7 Sekunden, nachdem dieses geschlossen wurde, erscheint auf dieser Seite die Signatur „Hacked by Deusen“.

Obwohl für den Austausch des Contents eine externe Domain verwendet wird, bleibt der Link in der Adresszeile des Browsers unverändert – http:///www.dailymail.co.uk/home/index.html – was den Nutzer leicht in die Irre führen kann. Wenn nun aber im Rahmen der XSS-Attacke keine Nachrichten-Site, sondern eine Bank-Website angegriffen wird, so kann der Online-Verbrecher den Besucher zum Ausfüllen eines gefälschten Formulars auffordern und ihm problemlos die ihn interessierenden Daten entlocken.

Die Sicherheitslücke hängt mit einer inkorrekten Verarbeitung von iFrame zusammen und ermöglicht die Umgehung der Same-Origin-Policy (SOP) – ein Schlüsselmechanismus verschiedener Web-Anwendungen, der es Skripten erlaubt, die sich auf den Seiten einer Website befinden, das DOM-Interface des jeweils anderen zu nutzen und der den Zugriff auf das DOM anderer Websites verhindert. Im Grunde verhindert die SOP Manipulationen am Inhalt einer Website bei der Ausführung von Code, der über iFrame geladen wird.

Ein Exploit dieser Schwachstelle ermöglicht laut Joey Fowler, Senior Security Engineer bei Tumblr, der am Montag über Leos Posting berichtete, auch die Umgehung der Standardbeschränkungen in der Kommunikation von HTTP zu HTTPS. „Wenn eine über Frame geladene Seite nicht den Header X-Frame-Options (mit dem Wert DENY oder SAMEORIGIN) enthält, so ist die Ausführung des Codes erfolgreich“, erläutert Fowler.

Microsoft hat bisher noch keinen Termin für die Veröffentlichung des Patches festgelegt, und Leo versäumte es nicht darauf hinzuweisen, dass das Unternehmen mehr als drei Monate Zeit gehabt habe, die Lage zu verbessern. Der erste Bericht von Deusen über diesen Bug wurde dem Softwarehersteller am 13. Oktober 2014 zugeschickt.

Aktive Exploits wurden laut Microsoft bisher noch nicht entdeckt, doch bis zu dem Erscheinen des Patches wird den Nutzern des neusten IE empfohlen, eine angemessene Wachsamkeit walten zu lassen. „Um diese Sicherheitslücke auszunutzen, muss ein Cyberkrimineller den Anwender zunächst einmal auf eine schädliche Website locken, was normalerweise mit Hilfe von Phishing versucht wird“, erklärt ein Vertreter von Microsoft. „Vor Phishing-Sites kann SmartScreen schützen, das in die neusten Versionen des Internet Explorers integriert und standardmäßig aktiviert ist. Wie auch schon in der Vergangenheit empfehlen wir unseren Kunden eindringlich, keine Links von unzuverlässigen Quellen zu öffnen und nur vertrauenswürdige Sites zu besuchen und sich beim Verlassen von Websites stets abzumelden, um so zum Schutz der eigenen Informationen beizutragen.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.