Sicherheitslücke im Internet Explorer 11 erlaubt Phishing-Attacken
Alexander Trust, den 4. Februar 2015
Sehr subtile Phishing-Attacken sind über eine neu beobachtbare Sicherheitslücke des Internet Explorers durchführbar, da eine grundlegende Sicherheitsmechanik des Browsers durch einen bloßen Textlink außer Gefecht gesetzt werden kann.
Wenn man einen Textlink entsprechend präpariert, so hat nun Sicherheitsexperte David Leo der Firma Deusen gezeigt, lässt sich die Sicherheitsmechanik im Internet Explorer aushebeln, die eigentlich dafür gedacht ist, nur Webseiteninhalte vom Ursprung der aufgerufenen Domain anzuzeigen („Same-Origin Policy“). Leo präparierte einen Textlink, der auf die britische Seite Dailymail.co.uk zeigte, bei einem Klick öffnete sich diese im Internet Explorer 11. Sieben Sekunden nach dem Öffnen wurde der Inhalt der Seite in „gehackt von Deusen“ geändert wurde. In der Browserzeile stand indes noch immer die Adresse von Dailymail.
XSS-Sicherheitslücke im IE11
Es handelt sich um einen Bug, der Cross-Site-Scripting (XSS) möglich macht und an deren Behebung ITler von Microsoft bereits arbeiten. Betroffen sind selbst vollständig gepatchte, aktuelle Versionen des Internet Explorer 11 unter Windows 7 und Windows 8.1. Der Exploit macht sich Iframes zunutze, um die erwähnte „Same-Origin Policy“ auszuhebeln.
Gegenüber Ars Technica gab ein Microsoft-Sprecher an, bislang sei nicht bekannt, dass dieser Bug in großem Maß missbraucht würde. Smartscreen, das standardmäßig im Internet Explorer angeschaltet sei, solle gegen Phishing-Versuche helfen. Gegen gezielte Angriffe, wie diejenigen aus David Leos Proof-of-Conept würde es jedoch nicht helfen. Microsoft rät Nutzern keine Links von nicht vertrauensvollen Quellen zu öffnen.
Webseiten-Betreiber können entgegenwirken
Auf die von Leo geschilderte Weise könnten Hacker sehr subtile Phishing-Attacken erzeugen, indem sie entsprechend präparierte Links in Umlauf bringen und dann Formulare auf Webseiten kopieren. Allerdings können Webseiten-Betreiber sich gegen die „gewaltsame“ Übernahme wehren, indem sie sogenannt „X-Frame-Header“ mit entsprechenden Informationen in ihren HTML-Code integrieren. Normalerweise nutzt man diese mit den Optionen „deny“ und „sameorigin“, um das Anzeigen der eigenen Inhalte in Frames anderer Domains zu verhindern. Allerdings gehen nicht alle Browser gleich mit den Einstellungen um, und es könnte passieren, dass der Nutzer am Ende nur eine weiße Seite angezeigt bekommt, oder vor andere Schwierigkeiten gestellt wird.