Internet Explorer: Zero-Day-Lücke ermöglicht Dateidiebstahl von Windows-PCs

Heute veröffentlichte der Sicherheitsforscher John Page Details zu einer XEE-Sicherheitslücke (XML External Entity) in IE, die ausgenutzt werden kann, wenn ein Benutzer eine MHT-Datei öffnet.

Die Schwachstelle liegt in der Art und Weise, wie der Internet Explorer MHT-Dateien verarbeitet. MHT steht für MHTML Web Archive und ist der Standard, in dem alle IE-Browser Webseiten speichern, wenn ein Benutzer den Befehl CTRL+S (Save web page) drückt. Moderne Browser speichern Webseiten nicht mehr im MHT-Format und verwenden das Standard-HTML-Dateiformat. Viele moderne Browser unterstützen jedoch weiterhin die Verarbeitung des Formats.

„Dies kann es entfernten Angreifern theoretisch ermöglichen, lokale Dateien zu exfiltrieren und installierten Programmversionsinformationen auszuspähen“, wie Page erklärt. „Beispiel: Eine Anfrage nach ‚c:\Python27\NEWS.txt‘ kann Versionsinformationen für dieses Programm liefern.“

Da unter Windows alle MHT-Dateien automatisch standardmäßig im Internet Explorer geöffnet sind, ist die Ausnutzung dieser Schwachstelle trivial, da Benutzer nur auf eine Datei doppelklicken müssen, die sie per E-Mail, Instant Messaging oder einem anderen Vektor erhalten haben.

Page erklärt, dass der tatsächlich anfällige Code davon abhängt, wie Internet Explorer mit STRG + K (Registerkarte „Duplizieren“), den Benutzerbefehlen „Druckvorschau“ oder „Drucken“ umgeht. Normalerweise erfordert dies laut Page einige Benutzerinteraktionen, diese Interaktion könnte automatisiert werden und ist nicht erforderlich, um die Schwachstellen-Exploit-Kette auszulösen.

„Ein einfacher Aufruf der Javascript-Funktion window.print() sollte den Zweck erfüllen, ohne dass eine Benutzerinteraktion mit der Webseite erforderlich ist“, sagte er. Darüber hinaus kann auch das Sicherheitswarnsystem des Internet Explorers deaktiviert werden.

„Typischerweise erhalten Benutzer beim Instanziieren von ActiveX-Objekten wie Microsoft.XMLHTTP‘ eine Sicherheitswarnung im IE und werden aufgefordert, blockierte Inhalte zu aktivieren“, sagte der Forscher. „Beim Öffnen einer speziell gestalteten MHT-Datei mit bösartigen Markup-Tags erhält der Benutzer jedoch keine solchen Warnungen vor aktiven Inhalten.“

Er habe den Exploit im neuesten Internet Explorer Browser v11 mit allen aktuellen Sicherheitspatches auf Windows 7, Windows 10 und Windows Server 2012 R2 Systemen erfolgreich getestet, so Page.

Die wahrscheinlich einzige gute Nachricht über diese Offenlegung der Schwachstellen ist die Tatsache, dass der einst dominierende Marktanteil des Internet Explorers laut NetMarketShare auf magere 7,34 Prozent gesunken ist, was bedeutet, dass der Browser selten verwendet wird.

Da Windows jedoch den IE als Standardanwendung verwendet, um MHT-Dateien zu öffnen, müssen Benutzer nicht unbedingt den IE als Standardbrowser eingestellt haben, und sind immer noch anfällig, solange der IE noch auf ihren Systemen vorhanden ist und sie zum Öffnen einer MHT-Datei verleitet werden.

Microsoft lehnt Patch ab

Wie Page erklärte, habe er Microsoft über diese neue IE-Schwachstelle am 27. März informierte, Microsoft lehnte umgehendes Handeln in einem Schreiben vom 10. April an den Forscher ab.

„Wir haben festgestellt, dass eine Lösung für dieses Problem in einer zukünftigen Version dieses Produkts oder Dienstes berücksichtigt wird“, sagte Microsoft laut Page. „Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Behebung dieses Problems veröffentlichen, und wir haben diesen Fall abgeschlossen.“

Nach der heftigen Reaktion von Microsoft veröffentlichte der Forscher auf seiner Website Details über die Zero-Day-Lücke zusammen mit Proof-of-Concept-Code und einer YouTube-Demo.

Diese Schwachstelle sollte trotz der Reaktion von Microsoft nicht auf die leichte Schulter genommen werden. Cybercrime-Gruppen haben in den vergangenen Jahren MHT-Dateien für Spear-Phishing und die Verbreitung von Malware ausgenutzt, und MHT-Dateien waren eine beliebte Möglichkeit, Exploits in manipulierte Pakete zu verpacken und an die Computer der Benutzer weiterzugeben.

Da sie bösartigen Code speichern können, sollten alle MHT-Dateien vor dem Öffnen immer gescannt werden, unabhängig davon, ob die Datei kürzlich empfangen wurde oder ob sie sich seit Monaten auf dem PC befindet.

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

15 Stunden ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

15 Stunden ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

1 Tag ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

2 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

2 Tagen ago

Microsoft: Teams überschreitet Marke von 270 Millionen monatlich aktiven Nutzern

Das ist ein Plus von 20 Millionen Nutzern im Vergleich zum Juli 2022. Auch die…

2 Tagen ago