Categories: BrowserWorkspace

Microsoft-Browser Edge: Warnmeldungen manipulierbar

Eine Sicherheitslücke in Microsofts Browser Edge erlaubt es, die Warnmeldungen des Smart-Screen-Filters zu manipulieren. Angreifer könnten Nutzern so etwa vorgaukeln, dass eine einwandfreie Website gefährlich ist und sie auffordern, das vermeintliche Problem zum Beispiel mit einem Software-Update zu beheben. So wäre es ihnen möglich, Malware zu verbreiten oder betrügerische Support-Dienste anzubieten. Darauf hat der Sicherheitsforscher Manuel Caballero hingewiesen

Caballero steckt der Fehler zufolge in den bei Edge verwendeten Protokollen “ms-appx” und “ms-appx-web”. Mit deren Hilfe laden Apps interne Ressourcen, beispielsweise lokal gespeicherte Dateien. Edge greift auf sie zurück, um seine Warnmeldungen einzublenden, sobald der Smart-Screen-Filter eine aufgerufene URL als gefährlich einstuft.

Neun der nun g

Edge blockiert jedoch einige der lokal gespeicherten Warnmeldungen, wenn sie nicht per Smart-Screen-Filter aufgerufen werden. Mit einem Trick konnte Caballero diese Sicherheitsmaßnahme jedoch umgehen. Dazu ersetzte er den “Punkt” im Dateinamen der Warnmeldung durch den ASCII-Code “%2E”. Anschließend konnte er Warnmeldung durch die Eingabe einer bestimmten URL in der Adressleiste des Browsers aufrufen.

Gefährlich ist das, weil Hacker mit so einer URL nicht nur en Inhalt der Warnmeldung sondern auch die in der Adressleiste angezeigte URL bestimmen können. “#http://www.facebook.com” führt etwa dazu, dass es so aussieht, als sei die Website von Facebook gefährlich.

Diese Sicherheitslücke könnte laut Caballero zum Beispiel für die sogenannten “Tech-Support-Scammer” interessant sein. Diese Spezies von Cyberkriminellen nutzt nach ihren eher plumpen Annäherungsversuchen in der Vergangenheit inzwischen auch technische Lücken aus, um sich unter dem Deckmantel vermeintlicher Support-Dienstleistungen Zugriff auf fremde Rechner zu verschaffen. Sie könnten ihre “Hotline” oder eine URL in der Warnmeldung hinterlegen, und Nutzer so in die Falle locken.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Caballero bietet in seinem Blogeintrag auch einen Link an, um die Sicherheitslücke mit dem eigenen Edge-Browser zu testen. Der dort verfügbare Beispielcode erlaubt es, die URL, auf die sich die Warnmeldung beziehen soll, un den dargestellten Text frei anzupassen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

12 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

12 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

13 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

17 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago