Internet Explorer: Cookie-Klau leicht gemacht
Durch eine ungepatchte Lücke im Internet Explorer können Angreifer die Cookies von den Besuchern präparierter Webseiten auslesen.
- Ronald Eikenberg
Der Sicherheitsforscher Rosario Valotta hat eine Zero-Day-Lücke in allen Versionen des Internet Explorer gefunden, die sich für einen Diebstahl beliebiger Cookies über das Netz eignet. Normalerweise verhindert das Sicherheitszonenmodell des Internet Explorer, dass Seiten aus der Internetzone Inhalte aus der lokalen Zone, also etwa von der Festplatte, als iFrame einbetten. Der Forscher hat entdeckt, dass Cookies hiervon offenbar ausgenommen sind und man sie sehr wohl in iFrames laden kann. Anschließend wird der Cookietext unsichtbar markiert und vom Nutzer vom iFrame in das Hauptfenster herübergezogen und fallengelassen. Damit der Anwender davon nichts mitbekommt, hat Valotta das Ganze in ein Spiel verpackt.
Trivial ist dieser Angriff nicht: Abgesehen davon, dass das Auslesen der Daten mittels Drag & Drop die Internetaktion des Opfers erfordert, was Valotta in seinem Demovideo mit einem einfachen Puzzlespiel gelöst hat, muss der Angreifer auch den genauen Pfad des Cookies kennen. Der Pfad enthält den Windows-Benutzernamen des Opfers, welchen der Angreifer daher erst einmal in Erfahrung bringen muss.
Valotta löst dies, indem er ein Bild in die Angriffswebseite einbettet, das auf einer SMB-Netzwerkfreigabe liegt. Zum Zugriff verlangt der Server jedoch eine Authentifizierung per NTLM. Dabei sendet der Rechner den Benutzernamen des angemeldeten Nutzers im Klartext – was der Angreifer einfach mit einem Packet-Sniffer mithören kann. Auch die Betriebssystemversion des Opfers muss der Angreifer in Erfahrung bringen, um den Pfad zu vervollständigen; etwa indem er das JavaScript-Objekt navigator.userAgent auswertet. Gegenüber einem passiven Angriff mit Firesheep ist der Aufwand also deutlich höher.
Gegenüber Reuters gab Valotta an, auf diese Weise innerhalb von drei Tagen über 80 Cookies seiner 150 Freunde bei Facebook eingesammelt zu haben. Valotta hat die ursprüngliche Lücke am 28. Januar des laufenden Jahres dem Microsoft Security Response Center gemeldet, wohin das Problem bis zum Erscheinen der Finalversion des IE9 am 18. März auch behoben wurde. Allerdings hat der Forscher nur zwei Wochen darauf bereits einen leicht abgewandelten Weg gefunden, auch die Cookies von IE9-Nutzern zu stehlen, wie er auf der Sicherheitskonferenz Hackinthebox in Amsterdam demonstrierte. (rei)
