Kein Hotfix verfügbar:
Internet-Explorer: Kleine Schwächen, großes Loch
Der Internet-Explorer besitzt ein paar Schwachstellen, die an sich nicht so gefährlich sind. Ein Angreifer kann diese jedoch geschickt ausnutzen, um über den Browser Schadcode auszuführen - unbemerkt vom Anwender. Das zeigt ein Vortrag auf der Blackhat-Konferenz.
Ein Anwender besucht mit seinem Internet-Explorer eine Website. Ohne dass er es merkt, wird auf seinem Rechner Schadcode ausgeführt, der von der Website stammt. Möglich wird so etwas, durch einige Schwachstellen im Internet-Explorer. Diese sind für sich genommen, nicht so kritisch. Kombiniert ein Hacker diese aber, kann er Schadcode auf den Rechner des Anwenders bringen, den der Internet-Explorer dann ausführt. Dies hat Jorge Luis Alvarez Medina, Security Consultant bei Core Security Technologies [1], in einer Präsentation anlässlich der Blackhat-Konferenz aufgezeigt. Die Details finden sich in dem White-Paper »Abusing Insecure Features of Internet Explorer [2]«.
Über den UNC-Namen lässt sich auf die Cookie-Verzeichnis des Internet-Explorers mit den Rechten der Internet-Zone aufrufen. Eigentlich sollte der Zugriff »restricted« sein.
Nach Medina gibt es zwei Möglichkeiten, einen Angriff auszuführen. Zum einen legt der Angreifer Html-Dateien in einem Shared-Folder des Opfers ab. Anschließend muss dieses einen Link zu einer verseuchten Web-Site klicken. Dadurch wird der Internet-Explorer dann dazu gebracht, den Html/Script-Code unter der lokalen IP 127.0.0.1 auszuführen.
Zum anderen kann der Hacker das Opfer auch direkt angreifen. Dieses muss dazu als erstes einen infizierten Link ausführen. Dabei kann der Angreifer bestimmte Daten abfragen, wie den Windows-Nutzernamen. Dieses ermöglicht ihm den richtigen Pfad zu bestimmten, um Html-Code in eine der internen Tracking-Dateien wie »index.dat« für die History zu schreiben.
Anschließend berechnet er den vollständigen Weg zu diesen Dateien als UNC-Pfad. Dann lassen sich die Dateien mit den Rechten für die Internet-Zone ausführen. Nun gilt es, den Internet-Explorer dazu bringen, die Datei mit dem Html-Schadcode auszuführen. Dieser läuft dann im Kontext der IP-Adresse 127.0.0.1.
Einer der Schwachstellen des Internet-Explorers dafür ist etwa, dass speziell geschützte Dateien/Verzeichnisse wie für Cookies sich auch mit anderen Rechten aufrufen lassen. Wird im Browser der UNC-Pfad für das Cookie-Verzeichnis verwendet, lautet die Sicherheitszone »Internet«. Wird der direkte Pfad angegeben, dann lautet die Zone korrekt »Restricted Site«. Diese Schwachstellen mit anderen kombiniert, macht die beschriebenen Angriffe möglich.
Maßnahmen gegen den Angriff
Einen offiziellen Hotfix gibt es nach Angaben von Medina derzeit nicht. Eine Möglichkeit gegen den Angriff ist der »Internet Explorer Network Protocol Lockdown [3]«. Er verhindert die Ausführung von Html-Content mit bestimmten Netzwerk-Protokollen zusätzlich zur Local-Machine-Zone. Dabei führt der Internet-Explorer kein Html mehr aus, das sich in Dateien im Internet befindet. Da im Normalfall die Dateien entweder lokal oder im Intranet liegen, sollte das keine große Einschränkung sein.
Beim direkten Zugriff auf den Cookie-Folder mit dem Internet-Explorer wird das Verzeichnis wie vorgesehen als »Restricted Site« gesehen.
Weiter lassen sich die Sicherheitseinstellungen für Internet- und Intranet-Zone auf sehr hoch setzen. Dann kann der Internet-Explorer keine Scripts oder ActiveX-Controls in diesen Zonen ausführen. Alternativ lassen sich Skripts und ActiveX-Controls manuell deaktivieren. Das kann aber andere Anwendungen stark beeinträchtigen. Bei Windows 7 oder -Vista gibt es auch die Möglichkeit, den Internet-Explorer im Protecded-Mode zu starten. Dies kann aber wieder Auswirkungen auf andere Applikationen haben.
Als letzte Möglichkeit bleibt noch den Browser zu wechseln.
[1] http://www.coresecurity.com/
[2] https://www.blackhat.com/presentations/bh-dc-10/Medina_Jorge/BlackHat-DC-2010-Medina-Abusing-insecure-features-of-Internet-Explorer-wp.pdf
[3] http://technet.microsoft.com/en-us/library/cc737488%28WS.10%29.aspx
- 1. Seite: Internet-Explorer: Kleine Schwächen, großes Loch
- 2. Seite: Maßnahmen gegen den Angriff
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.