Kritische Internet Explorer 11-Sicherheitsanfälligkeit kann zur Entwendung von Benutzerdaten verwendet werden

Table Of Contents

• Sicherheitsforscher entdeckt kritische universelle Cross-Site-Scripting (XSS)-Schwachstelle, die Internet Explorer 11 auf Windows 7 und 8.1 betrifft
• Schwachstelle

Sicherheitsforscher entdeckt kritische universelle Cross-Site-Scripting (XSS)-Schwachstelle, die Internet Explorer 11 auf Windows 7 und 8.1 betrifft

David Leo, ein Sicherheitsforscher, hat eine universelle Cross-Site-Scripting (XSS)-Schwachstelle entdeckt, die Internet Explorer 11 auf Windows 7 und 8.1 betrifft und die potenziellen Hackern ermöglichen könnte, äußerst überzeugende Phishing-Angriffe gegen IE-Nutzer durchzuführen.

Leo hat seine Entdeckung in der Full Disclosure Mailingliste veröffentlicht, die hier zu finden ist. Er sagte, dass er das Problem am 13. Oktober 2014 auch an Microsoft gemeldet habe, aber Microsoft hat die Schwachstelle bis jetzt nicht gepatcht.

Schwachstelle

Die Schwachstelle ist als universelle Cross-Site-Scripting (XSS)-Schwachstelle bekannt. Die XSS-Schwachstelle kann von Angreifern ausgenutzt werden, um die Same Origin Policy (SOP) zu umgehen. SOP ist eine entscheidende Richtlinie für jeden Internetnutzer, da sie es einem Browser-Tab nicht erlaubt, auf Informationen in einem anderen Tab zuzugreifen oder Browser-Cookies oder andere Inhalte, die von einer anderen Seite in diesem Tab gesetzt wurden, zu ändern.

Leo hat eine Website mit dem Proof-of-Concept-Exploit der XSS-Schwachstelle erstellt, die hier aufgerufen werden kann. Die Website kann eine Nachricht anzeigen, die Leo geschrieben hat, um zu zeigen, wie kritisch die Schwachstelle ist.

Jeder potenzielle Angriff kann diese Schwachstelle gegen Benutzer nutzen, die unterstützte Versionen von Internet Explorer mit den neuesten Patches verwenden, um sie auf bösartig gestaltete Seiten zu leiten.

Mit Leos PoC können Hacker potenziell bösartige Inhalte dem Benutzer anzeigen, während die URL, die in der Adressleiste des Browsers angezeigt wird, dieselbe bleibt, die der Benutzer besuchen wollte. Das bösartige Potenzial der Schwachstelle wurde von dem Sicherheitsingenieur von Tumblr, Joey Fowler, bestätigt, der Leo zurückschrieb,

Hi David, „schön“ ist hier eine Untertreibung. Ich habe einige Tests damit durchgeführt und obwohl es /einige/ Eigenheiten gibt, funktioniert es auf jeden Fall. Es umgeht sogar die Standard-HTTP-zu-HTTPS-Beschränkungen. Solange die Seiten, die gerahmt werden, keine X-Frame-Options-Header (mit deny oder same-origin Werten) enthalten, wird es erfolgreich ausgeführt. Abhängig von der injizierten Payload werden auch die meisten Content Security Policies umgangen (indem HTML anstelle von JavaScript injiziert wird). Es scheint, dass durch diese Methode alle praktikablen XSS-Taktiken offen sind! Tolle Entdeckung! Wurde dies Microsoft außerhalb (oder innerhalb) dieses Threads gemeldet? — Joey Fowler Senior Security Engineer, Tumblr

Der Exploit-Code sieht wie folgt aus

function go() {
w=window.frames[0];
w.setTimeout(“alert(eval(‘x=top.frames[1];r=confirm(\’Schließen Sie dieses Fenster nach 3 Sekunden…\’);x.location=\’javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\’;’))”,1);
}
setTimeout(“go()”,1000);

Microsoft sagte, dass sie an einem Patch für die Schwachstelle arbeiten, während sie erklärten, dass ihnen nicht bekannt sei, dass die Schwachstelle aktiv in der Wildnis ausgenutzt wird.

„Um dies auszunutzen, müsste ein Gegner den Benutzer zuerst auf eine bösartige Website locken, oft durch Phishing. SmartScreen, das in neueren Versionen von Internet Explorer standardmäßig aktiviert ist, hilft, sich vor Phishing-Websites zu schützen“, sagte er. „Wir empfehlen weiterhin unseren Kunden, Links von nicht vertrauenswürdigen Quellen zu vermeiden und nicht vertrauenswürdige Seiten zu besuchen und sich abzumelden, wenn sie Seiten verlassen, um ihre Informationen zu schützen.“