Internet Explorer: Zero-Day-Lücke ermöglicht Phishing-Angriffe

Eine Zero-Day-Lücke gefährdet den Internet Explorer 11. Diese hat der Sicherheitsforscher David Leo von der Beratungsfirma Deusen entdeckt. Er beschreibt die Schwachstelle in der Mailing-Liste Full Disclosure. Demnach ist sie eine universelle Cross-Site-Scripting-Lücke, die Phishing-Angriffe ermöglicht.

Angreifer können sie ausnutzen, um die vollständige Kontrolle über ein Nutzerkonto zu erhalten. Leo hat für die Lücke einen Beispielcode veröffentlicht, mit dem sich die Anfälligkeit gegen die Website der britischen Zeitung Daily Mail einsetzen lässt.

Die Zero-Day-Lücke erlaubt das Umgehen der Sicherheitsfunktion Same-Origin-Policy. In Leos Beispiel öffnet sich nach dem Klick auf einen manipulierten Link in Internet Explorer 11 unter Windows 8.1 zwar die Website “dailymail.co.uk”, nach 7 Sekunden zeigt die sie aber eine Seite, auf der es heißt: “Von Deusen gehackt.”

Die gefälschte Seite lade sich von einer externen Domain, während die Adressleiste des Browsers weiterhin die URL “dailymail.co.uk” anzeigt, berichtet Computerworld. Demnach könne die Sicherheitslücke genutzt werden, um Phishing-Websites glaubwürdiger erscheinen zu lassen. Cyberkriminelle könnten außerdem statt der Website der Daily Mail auch die Seite einer Bank verwenden und somit unter anderem Anmeldedaten für das Online-Banking abzufragen. Nutzer seien nicht in der Lage, die Umleitung auf die gefälschte Seite an der URL in der Adressleiste zu erkennen.

Angriff funktioniert auch bei HTTPS-Websites

Der Angriff funktionierte auch, wenn eine Website sicheres HTTP (HTTPS) einsetze. Das hat Computerworld zufolge ein Sicherheitsforscher der Yahoo-Tochter Tumblr herausgefunden. Bei eigenen Tests sei er zwar auf verschiedene Hindernisse gestoßen, sein Fazit sei aber, dass ein Angriff “ganz bestimmt funktioniert”. “Es werden sogar die Beschränkungen für HTTP zu HTTPS umgangen”, schreibt Joey Fowler in einem Kommentar zu Leos Eintrag auf Full Disclosure.

Skriptsprachen wie JavaScript, ActionScript und Cascading Style Sheets (CSS) können durch die Lücke in der Same-Origin-Policy auf Objekte wie Cookies zugreifen, die von einer anderen Website stammen. Enthält ein Cookie zum Beispiel Anmeldedaten, kann dieser genutzt werden, um sich in einem anderen Browser ohne erneute Eingabe von Nutzername und Passwort bei einem Internetdienst anzumelden.

“Uns ist nicht bekannt, dass die Anfälligkeit aktiv ausgenutzt wird, und wir arbeiten an einem Sicherheitsupdate”, zitiert Computerworld aus einer E-Mail eines Microsoft-Sprechers. Der Softwarekonzern rät Nutzern, nicht auf Links aus nicht vertrauenswürdigen Quellen zu klicken und sich stets abzumelden, wenn sie eine Website verlassen.

Websitebetreiber könnten sich hingegen vor Angriffen auf die IE-Lücke schützen, so Computerworld weiter. Fowler und auch Daniel Cid, CTO der Sicherheitsfirma Sucuri, hätten darauf hingewiesen, dass ein Header namens “X-Frame-Options” mit den Werten “deny” oder “same-origin” verhindere, dass Seiten in iFrames geladen werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.