Ungepatchte Schwachstelle im Internet Explorer erlaubt Phishing-Attacken

BrowserSicherheitSicherheitsmanagementWorkspace
Internet Explorer 10 Logo (Bild: Microsoft)

Die Lücke findet sich in der Sicherheitsfunktion Same-Origin-Policy. Sie ermöglicht Skriptsprachen wie JavaScript den Zugriff auf Cookies, die etwa Anmeldedaten enthalten. Ein Sicherheitsforscher hat das Leck im Internet Explorer 11 unter Windows 8.1 vorgeführt. Microsoft arbeitet Eigenen Angaben zufolge bereits an einem Sicherheits-Update.

Der bei der Beratungsfirma Deusen beschäftigte Sicherheitsforscher David Leo hat eine neue Schwachstelle in Internet Explorer 11 gefunden. In der Mailing-Liste Full Disclosure beschreibt er eine universelle Cross-Site-Scripting-Lücke, die Phishing-Attacken ermöglicht. Angreifer könnten zum Beispiel die vollständigeKontrolle über ein Konto eines Nutzers erhalten. Von ihm veröffentlichter Beispielcode demonstriert, wie sich die Schwachstelle bei der Website der britischen Zeitung Daily Mail ausnutzen lässt.

Der bei der Beratungsfirma Deusen beschäftigte Sicherheitsforscher David Leo hat eine neue Schwachstelle in Internet Explorer 11 gefunden (Bild: Microsoft)

Der Bug im Microsoft-Browser ermöglicht es David Leo zufolge, die Sicherheitsfunktion Same-Origin-Policy zu umgehen. In seinem Testlauf öffnet sich nach dem Klick auf einen speziell präparierten Link in Internet Explorer 11 unter Windows 8.1 zwar die Website “dailymail.co.uk”, nach sieben Sekunden wird der Inhalt der Seite jedoch durch eine Seite ersetzt, auf der es heißt: “Von Deusen gehackt.”

Wie Computerworld berichtet, wird die gefälschte Website von einer externen Domain geladen. Die Adressleiste des Browsers zeigt jedoch weiterhin die URL “dailymail.co.uk” an. Die Lücke könne also ausgenutzt werden, um die Glaubwürdigkeit von Phishing-Websites zu erhöhen. Angreifer können zum Beispiel die Seite einer Bank nachahmen, um Log-in-Daten fürs Online-Banking abzugreifen. Die Umleitung auf die gefälschte Seite kann der Anwender in dem Fall nicht an der URL in der Adressleiste erkennen.

Ein Sicherheitsforscher der Yahoo-Tochter Tumblr hat Computerworld zufolge zudem entdeckt, dass der Angriff selbst dann funktioniert, wenn eine Website das HTTPS-Protokoll einsetzt. Er sei dabei zwar auf diverse Hindernisse gestoßen, sein Fazit sei jedoch, dass eine Attacke “ganz bestimmt funktioniert”. “Es werden sogar die Beschränkungen für HTTP zu HTTPS umgangen”, schreibt Joey Fowler in einem Kommentar zu David Leos Eintrag auf Full Disclosure.

Die Schwachstelle in der Same-Origin-Policy führt dazu, dass Skriptsprachen wie JavaScript, ActionScript und Cascading Style Sheets (CSS) auf Objekte wie Cookies zugreifen können, die von einer anderen Website stammen. Ein Cookie, das zum Beispiel Log-in-Daten beinhaltet, kann verwendet werden, um sich in einem anderen Browser ohne erneute Eingabe von Nutzername und Passwort bei einem Internetdienst anzumelden.

“Uns ist nicht bekannt, dass die Anfälligkeit ausgenutzt wird, und wir arbeiten an einem Sicherheitsupdate”, erklärte ein Microsoft-Sprecher gegenüber Computerworld. Der Konzern empfiehlt Anwendern vorerst, nur auf Links aus vertrauenswürdigen Quellen zu klicken und sich stets abzumelden, wenn eine Website verlassen wird.

Websitebetreiber könnten sich vor Angriffen auf die Lücke schützen, so Computerworld weiter. Fowler und auch Daniel Cid, CTO der Sicherheitsfirma Sucuri, hätten darauf hingeweisn, dass ein Header namens “X-Frame-Options” mit den Werten “deny” oder “same-origin” verhindere, dass Seiten in iFrames geladen werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen