Fremdgesteuerte FTP-Kommandos durch Lücke im Internet Explorer
Sicherheitsforscher haben eine Lücke im IE aufgespürt, die Angreifern ermöglicht, den Browser von Anwendern mit manipulierten Links zum Absetzen von FTP-Befehlen zu missbrauchen.
Die Sicherheitsforscher der Gruppe Rapid7 haben eine Lücke im Internet Explorer 5 und 6 entdeckt, die Angreifer mit manipulierten Links etwa in eingeschmuggelten iFrames in gehackten Webseiten missbrauchen können, um den Browser zum Absetzen von FTP-Befehlen zu bringen. Angreifer könnten so unter dem Namen des Nutzers beziehungsweise mit dessen IP-Adresse Dateien löschen, umbenennen, stehlen oder auf den Server hochladen.
Der Fehler lässt sich darauf zurückführen, dass der IE5 und IE6 FTP-URLs nicht ordentlich filtern. Durch das Einfügen von URL-kodierten Carriage-Linefeed-Zeichen (%0D%0A) in FTP-Verknüpfungen können deshalb FTP-Befehle an die URL angehängt werden, die auf dem FTP-Server ausgeführt werden. Die Sicherheitsmeldung von Rapid7 enthält einen Beispiel-Link, der versucht, die Datei foo.txt auf dem FTP-Server zu löschen:
<iframe src="ftp://user@site:port/%0D%0ADELE%20foo.txt%0D%0A//"/>
Zum Löschen von Dateien braucht das verwendete Zugangskonto die passenden Rechte auf dem Server.
Das gelingt natürlich nur, wenn das angegebene FTP-Konto auch die Rechte dazu besitzt. Die URL soll zudem eine weitere Schwachstelle demonstrieren, durch die beim Login automatisch das zwischengespeicherte Passwort einer vorherigen Benutzeranmeldung am FTP-Server in derselben Browser-Sitzung verwendet wird; das soll der Sicherheitsmeldung zufolge der abschließende Doppel-Slash im Link verursachen.
Laut Fehlerbericht haben die Forscher Microsoft über die Schwachstelle bereits informiert. Ein Patch, der den Fehler behebt, soll in Vorbereitung sein. Da der Internet Explorer 7 von dem Fehler nicht betroffen ist, hilft auch der Umstieg auf die neuere Browser-Version.
Siehe dazu auch:
- Microsoft Internet Explorer FTP Command Injection Vulnerability, Sicherheitsmeldung von Rapid7