Geister bedrohen Internet-Explorer-Anwender

So hatte sich Microsoft das sicher nicht vorgestellt. Ein Vortrag über ein massives Browser-Sicherheitsproblem hinter den verschlossenen Türen der hauseigenen Sicherheitskonferenz Bluehat entfachte den Ehrgeiz der Security-Community. Mittlerweile ist das Rätsel weitgehend gelöst und ein veritables Sicherheitsproblem im Internet Explorer offengelegt. Manuel Caballero demonstrierte in Redmond offenbar ein recht universelles Spionage-Tool, das man sich allein durch den Besuch einer Web-Seite einfangen kann. Seine gespenstische Zusammenfassung:

Glauben Sie an Geister? Stellen Sie sich ein unsichtbares Script vor, das Ihnen heimlich folgt, während Sie surfen – selbst nachdem Sie die URL 1000 Mal gewechselt haben. Und dieser Geist sieht alles was Sie machen: wohin sie surfen, was Sie dort eintippen (Passwörter eingeschlossen) und er errät auch Ihren nächsten Schritt.

Was an Informationen über diesen Vortrag nach draußen drang, genügte einigen Sicherheitsspezialisten, das Puzzle Stück für Stück wieder zusammen zu setzen. Es war klar, dass es sich um eine Verletzung der Cross Domain Policy handelt, die sicherstellt, dass etwa eine Microsoft-Seite nicht mitlesen kann, was Sie auf einer Heise-Seite eintippen. Dass iframes im Spiel waren verriet ein veröffentlichter Screenshot der Demo. Der Rest erforderte etwas Erfahrung und Ausprobieren.

Mittlerweile gibt es eine Reihe von Demos, die zeigen, wie man die Barriere der Domänengrenzen durchbrechen und Caballeros Spionagefunktionen implementieren kann. Eine chinesische Gruppe namens Ph4nt0m demonstriert, dass man die Sicherheitschecks bei Zugriffen auf die Fenstereigenschaft location umgehen kann. Das veranlasste das US-CERT zu einer Sicherheitswarnung vor Internet Explorer – in Version 6. Denn bei IE 7 funktioniert die dort vorgestellte Methode nicht.

Dass auch Microsofts neue Browser-Generationen vor solchen Problemen nicht gefeit sind, demonstriert Eduardo Vela. Er fand nämlich heraus, dass es genügt, einen String nicht wie einen String aussehen zu lassen, um die Schutzmaßnahmen beim Zugriff auf location zu umgehen. Damit implementierte er dann auch gleich eine einfache Demo mit einem primitiven Keylogger, der auch mit IE7 und den Betas von IE8 funktionieren soll. Und tatsächlich: Nach dem Aufruf seiner Demo-URL im Internet Explorer 7 auf einem Testsystem folgte uns sein Code hartnäckig über viele Sites hinweg und spionierte uns aus. Selbst nachdem wir von Hand eine Heise-URL eingetippt und aufgerufen hatten, griff sein "Caballero-Listener" alle Tastatureingaben ab und zeigte sie in einem entführten IFrame an.

Die Demos sehen vielleicht noch nicht sonderlich beeindruckend aus, sind es aber durchaus. Kombiniert man sie mit der Tatsache, dass derzeit hunderttausende von Sites kompromittiert sind, bedeuten sie, dass man mit Microsofts Internet Explorer bis auf weiteres besser keine wichtigen Seiten mehr aufruft. Denn die professionellen Softwareentwickler hinter Web-Attack-Toolkits wie MPack sind ohne Zweifel in der Lage, diese Lücken professionell für ihre Zwecke zu nutzen.

Ob der Umstieg auf die Konkurrenzprodukte wie Firefox wirklich schützt, muss sich erst noch zeigen. Der Sicherheitsexperte Nate McFeters hat den Geister-Vortrag gesehen und behauptet in seinem Blog, dass das Problem alle Browser beträfe. Vielleicht ist ja doch noch nicht alles aufgedeckt. Man kann jedoch ziemlich sicher davon ausgehen, dass eine Kombination von Firefox mit der Erweiterung NoScript wenig Angriffsfläche für derartige Attacken bietet.

Siehe dazu auch:

• Microsoft Internet Explorer 6 contains a cross-domain vulnerability, Sicherheitsnotiz des US-CERT
• Browser's Ghost Busters, Blog-Eintrag von Eduardo Vela

(ju)