Kombination alter und neuer Lücken im Internet Explorer macht PC verwundbar

Ein Sicherheitsspezialist mit dem Pseudonym "Mindwarper" meldete kürzlich auf Bugtraq einen Fehler im Internet Explorer, mit dem der Zugriff auf lokale Dateien durch IFRAMES möglich ist. Dazu öffnet man IFRAMES mit den Rechten der lokalen Zone, indem man den Location Header (src="file:///C:/) manipuliert. Dies allein verursacht allerdings noch keine ernst zu nehmende Sicherheitslücke. Kurz darauf jedoch veröffentlichte ein weiterer Sicherheitsexperte, Liu Die Yu, eine Schwachstelle im Internet Explorer, mit der man das Sicherheits-Zonenmodell umgehen kann. Ist eine Datei im Browsercache abgelegt, so wird sie zunächst der Internet-Zone zugeordnet. Der Aufruf im Browser "C:\Documents and Settings\[user_name]\Local Settings\Temporary Internet Files\Content.IE5\EXE.EXE" erzeugt erwartungsgemäß eine Fehlermeldung. Die Datei wird nicht ausgeführt. Fügt man aber einen zusätzlichen Slash in den Pfad ein ("C:\\Documents an Settings....), ordnet der Internet Explorer die Datei nun der lokalen Zone zu. Damit kann man sie mit einer manipulierten URL starten. Dies ermöglicht aber immer noch keinen erfolgreichen Angriff aus dem Internet.

An dieser Stelle brachte Mindwarper Macromedias Flash-Plug-ins ins Spiel. Webseiten können über diese Plug-ins spezielle Cookies auf dem PC eines Anwenders ablegen. Der Pfad zu diesen Cookies ist bekannt, sie liegen im Verzeichnisbaum des Anwenders. In den Cookies lässt sich mit einigen Tricks HTML- und Scripting-Code unterbringen. Um auf das Cookie zuzugreifen und den darin befindlichen Code im Internet Explorer auszuführen, muss man nur noch den Namen des Benutzers wissen, der Rest des Pfades ist bekannt. Hier nutzt man einen Fehler in Microsofts Browser aus, um das aktuelle Userprofil, inklusive Benutzernamen, abzufragen.

Aus den Einzelfehlern schmiedete man einen Proof-of-Concept-Exploit, mit dem es möglich ist, beliebigen Code auf dem System eines Anwenders zu installieren und auszuführen. Voraussetzung ist ein funktionierendes Flash-Plug-in und Active Scripting. Ein Opfer muss allerdings eine entsprechend manipulierte Webseite besuchen, um angegriffen zu werden.

An diesem Exploit zeigt sich im Detail, wie die Kumulation einzelner, weniger kritischer und deshalb bisher ungepatchter Sicherheitslücken zu einem ernsten Problem wird. Macromedia hat auf der Mailingliste Full-Disclosure angekündigt, mit neuen Flash-Plug-ins die Manipulation der Flash-Cookies verhindern zu wollen. Wann Microsoft nachzieht und Sicherheitupdates herausgibt, die die anderen beteiligten Schwachstellen behebt, steht nicht fest. Als Workaround sollte man Flash-Plug-ins deinstallieren und Active Scripting deaktivieren.

Die Liste der ernsten IE-Probleme wird immer länger. Bereits seit über zwei Wochen warten IE-Nutzer vergeblich auf einen Patch für ein anderes Sicherheitsloch, das es ebenfalls ermöglicht, dass eine Web-Seite ein Programm installiert und startet. Diese Lücke wird bereits aktiv ausgenutzt, indem Nachrichten in Chats und Newsgruppen IE-Nutzer auf Seiten locken, die heimlich ein Trojanisches Pferd auf ihrem Rechner installieren. Mit dem c't-Browsercheck auf heise Security können Sie überprüfen, ob auch ihr System verwundbar ist.

Siehe dazu auch: (dab)

• Security Advisory von Mindwarper
• Security Advisory 1 von Liu Die Yu
• Security Advisory 2 von Liu Die Yu
• IE-Demos des c't-Browserchecks