Massive Sicherheitslücke im Internet Explorer könnte sehr überzeugende Phishing-Angriffe möglich machen

David Leo hat über die der Full Disclosure Mailing List Details zu dieser Schwachstelle veröffentlicht, darunter auch ein Link auf einen Proof-of-Concept-Exploit, also einen Machbarkeitsnachweis, der zeigt, wie der Angriff auf der beliebten Daily-Mail-Website erfolgreich durchgeführt wird.

Bei dem Bug, der den Internet Explorer 11 auf Windows 7 und Windows 8.1 betrifft, handelt es sich um eine universelle Cross-Site-Scripting-Schwachstelle (XSS), über die die so genannte Same-Origin-Policy umgangen werden kann

Die Same-Origin-Policy (SOP) ist ein wichtiger Bestandteil der Sicherheit von Web-Anwendungen, die es Browsern ermöglicht, den Funktionsumfang der im Browser des Nutzers ausgeführten Skripts zu beschränken. Im Speziellen soll sie verhindern, dass ein Skript, das auf einer Website ausgeführt wird, auf Inhalte außerhalb dieser Website zugreift.

Doch so wie es aussieht, hat Leo eine Möglichkeit gefunden, diese Einschränkungen im Internet Explorer zu auszuhebeln.

In Leos Exploit-Beispiel werden Nutzer des Internet Explorer aufgefordert, auf einen Link zu klicken, der die Daily-Mail-Website öffnet – diese öffnet sich zunächst auch ganz normal, wird aber nach sieben Sekunden mit dem Text „Hacked by Deusen“ ersetzt.

Man sollte darauf hinweisen, dass nicht die Website des Daily Mail selbst gehackt wurde, sondern dass die Inhalte, die im Browser des Nutzers angezeigt werden, auf betrügerische Art und Weise manipuliert worden sind.

Was einen solchen Angriff so überzeugend macht, ist die Tatsache, dass die in der Adressleiste angezeigte URL sich während des Angriffs nicht verändert. So wäre es kein Problem für einen Angreifer, Code einzubetten (so zum Beispiel eine gefälschte Anmeldeseite) oder Schadcode über eine externe Seite auszuführen, ohne dass der Nutzer überhaupt Verdacht schöpft.

Joey Fowler, leitender Sicherheitsingenieur bei Tumblr hat in einem späteren Eintrag in der Full Disclosure Mailing List die Schwere der Sicherheitslücke bestätigt:

Solange die betroffene(n) Seite(n) über keine X-Frame-Options-Header (mit den Werten ‚deny‘ oder ‚same-origin‘) verfügen, wird sie erfolgreich durchführt. Abhängig von der eingeschleusten Payload werden auch die meisten Content Security Policies umgangen (das heißt durch das Einschleusen von HTML anstelle von JavaScript).

Es sieht ganz so aus, als wären mit dieser Methode alle umsetzbaren XSS-Taktiken auf dem Tisch!

Laut The Register wurde auch Microsoft über die Schwachstelle informiert und man hofft auf die zügige Veröffentlichung eines Sicherheits-Patches – auch wenn hierfür noch kein Zeitplan vorgelegt wurde.

Das öffentlichmachen einer solchen schweren Sicherheitslücke, ohne Microsoft im Vorfeld die Gelegenheit zu deren Behebung zu geben, wird auch in diesem Fall wieder die Frage aufkommen lassen, ob Sicherheitsforscher ihrer Verantwortung gerecht werden – oder ob ihr Vorgehen die Mehrheit der Internet Explorer einem Risiko aussetzt.