Protected Mode des Internet Explorer lässt sich austricksen
Forscher der US-Firma Verizon beschreiben einen Angriff auf aktuelle Versionen des Internet Explorer, der dessen "Protected Mode" aushebelt und das dauerhafte Installieren von Schadcode erlaubt.
- Christian Kirsch
Mit dem Internet Explorer 7 und Windows Vista führte Microsoft den Protected Mode (geschützter Modus ) für seinen Browser ein: Er soll den Rechner vor Angriffen durch Schwachstellen in IE-Erweiterungen oder im Browser selbst schützen und das Aufspielen von Schadsoftware auf diesem Weg verhindern.
Forscher von Verizon Business beschreiben (PDF) nun einen Weg, wie sich der Protected Mode im IE 7 und 8 umgehen lässt, um Zugriff auf Benutzerkonten zu erhalten. Voraussetzung ist eine Schwachstelle im Browser oder einer Erweiterung, die das Ausführen von Schadcode erlaubt. Dieser läuft zwar zunächst nur im sogenannten Low Integrity Mode des Browsers, kann jedoch trotzdem einen Webserver auf dem Rechner starten, der Anfragen auf einem beliebigen Port des Loopback-Interfaces beantwortet. Durch Aufruf der Funktion IELaunchURL() kann der Angreifer den IE zum Laden einer URL von diesem Webserver veranlassen, etwa "http://localhost/exploit.html". In der Regel gehört localhost zur Local Intranet Zone des IE; für Inhalte aus dieser Zone ist der Protected Mode deaktiviert.
Nutzt man nun in dieser Situation denselben Exploit ein zweites Mal aus, lässt sich beliebiger Code in der Sicherheitsstufe "Medium Integrity" ausführen. Er hat dann Zugriff auf das Benutzerkonto und kann beliebige Software dauerhaft auf dem Rechner installieren.
Als Schutz vor dem beschriebenen Angriff empfehlen die Forscher unter anderem, möglichst wenige Sites in die lokale Intranetzone des IE aufzunehmen und den Protected Mode für alle Zonen des Browsers zu aktivieren. (ck)
