SmartScreen-Filter: Microsoft blockiert Drive-by-Downloads in IE11 und Edge

Microsoft hat seine Sicherheitstechnik SmartScreen für Edge und Internet Explorer 11 unter Windows 10 überarbeitet. Sie soll nun in der Lage sein, Bedrohungen durch sogenannte Drive-by-Downloads zu blockieren. Das sind Downloads, die im Hintergrund erfolgen und ohne weitere Interaktion beim Besuch einer speziell präparierten Website ausgelöst werden, wenn Browser oder Browser-Plug-ins Sicherheitslücken aufweisen. So soll SmartScreen neuerdings auch vor Angriffen auf Zero-Day-Lücken schützen.

Die für den SmartScreen-Filter benötigten Daten bezieht Microsoft nach eigenen Angaben von seinen Browsern, der Bing-Suche, seiner kostenlosen Antivirensoftware Defender und dem Enhanced Mitigation Experience Toolkit (EMET). Letzteres können Unternehmen einsetzen, um sich vor Angriffen auf ungepatchte Schwachstellen in Microsoft-Produkten zu schützen.

„Dadurch werden nicht nur Informationen über das Surfverhalten oder die Web-Infrastruktur zusammengestellt, sondern auch Telemetriedaten vom gesamten Windows-Betriebssystem“, heißt es in einem Blogeintrag des Edge-Teams. „Das kann uns helfen, mögliche Angriffe zu erkennen, während sie ausgeführt werden, und auch aufkommende Bedrohungen.“

Microsoft verweist in dem Zusammenhang auf die zunehmende Verbreitung von Exploit Kits wie Angler, die für eine immer größere Zahl von Angriffen auf PC-Browser verantwortlich seien. Gegenüber 2014 habe sich in diesem Jahr nicht nur die Zahl der von ihnen ausgenutzten Schwachstellen von 8 auch 15 erhöht, sie reagierten auch schneller auf neue Sicherheitslücken. Alleine in fünf Fällen sei es Cyberkriminellen in diesem Jahr gelungen, Exploits für Zero-Day-Lücken zu entwickeln und Nutzer anzugreifen, bevor ein Patch zur Verfügung stand.

In einem solchen Fall könnte beispielsweise schon das Laden einer Webseite mit speziell gestalteten Inhalten einen Drive-by-Download auslösen. Solche Inhalte können sich auch auf legitimen Websites verstecken, beispielsweise in Werbung. Ziel des neuen SmartScreen-Filters ist es laut Microsoft, diese Angriffe zu blockieren, noch bevor der Webinhalt verarbeitet oder dargestellt wird. Dafür generiert SmartScreen eine Cache-Datei. Sie soll sicherstellen, dass alle Aufrufe an den Filter weitergegeben werden, sobald eine hohe Wahrscheinlichkeit besteht, dass eine Website gefährlich ist.

Wird eine Website als gefährlich eingestuft, blenden Edge und IE11 unter Windows 10 eine Warnung ein und melden den Besuch der Seite an Microsoft. Der Nutzer kann den Hinweis allerdings auch ignorieren und die Seite trotzdem laden.

Um die Browsernutzung weniger einzuschränken, hat Microsoft zudem ein Verfahren entwickelt, das es SmartScreen erlaubt, Frames zu erkennen. Sie werden oftmals benutzt, um gefährliche Anzeigen einzuschleusen. Statt dann die gesamte Seite zu sperren, wird nun nur noch die Anzeige isoliert.

Den SmartScreen-Filter selbst hatte Microsoft zusammen mit Internet Explorer 7 im Jahr 2006 eingeführt. Bis jetzt war seine Hauptaufgabe, Phishing zu verhindern und schädliche Downloads zu erkennen und zu sperren.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.