Hilfefunktion des Internet Explorer hilft den Falschen

Auf der Sicherheits-Mailingliste Bugtraq hat Arman Nayyeri eine neue Schwachstelle veröffentlicht, über die es möglich ist, den Internet Explorer beliebige Programme starten zu lassen. Nach ersten Tests von heise Security funktioniert die vorgestellte Methode tatsächlich mit einem vollständig gepachten Internet Explorer 6 unter Windows XP.

Nayyeri nutzt dazu die eingebaute showhelp()-Funktion des IE, über die Windows Hilfeseiten anzeigt. Microsoft hatte die Funktion bereits im Frühjahr überarbeitet, nachdem bekannt wurde, dass Angreifer damit beliebigen Code auf dem Rechner eines IE-Nutzers ausführen konnte. Insbesondere ist es mit den aktuellen Patches nicht mehr möglich, mit showhelp() Dateien via file:// URL zu öffnen und sogenannte Shortcuts zu verwenden.

Doch Nayyeri hat herausgefunden, dass sich diese Beschränkungen über Aufrufe der Form

showHelp("mk:@MSITStore:iexplore.chm::..\\..\\..\\..\\chmfile.chm::/fileinchm.html");

umgehen lassen. Dies öffnet die in der Hilfedatei chmfile.chm eingebettete HTML-Seite fileinchm.html -- und zwar mit den Rechten des lokalen Systems. Mit diesen lassen sich dann quasi beliebige Aktivitäten wie das Herunterladen und Starten weiterer Programme realisieren.

Dazu muss sich die Hilfedatei bereits vorher auf dem Windows-Systemlaufwerk befinden. Es gibt jedoch auf Windows-Systemen mehrere bekannte Mechanismen, Dateien ohne Mitwirkung des Anwenders unter einem bekannten Pfad auf dessen System abzulegen. Nayyeri nutzt in seiner Demonstration den Skin-Support von Winamp (Version 1,2,5), um eine Winamp-Skin-Datei (*.wsz) unter C:\Program Files\WinAmp\skins\ abzulegen und anschließend als Hilfedatei zu öffnen. Er betont dabei, dass dies auch mit anderen Dateitypen wie ICQ-Sound-Schemes geht. Die in seiner Hilfedatei eingepackte HTML-Datei enthält ein ausführbares EXE-File, das automatisch ausgepackt und gestartet wird. Wer Nayyeris Demo-Exploit ausprobiert, sollte unbedingt vorher die Datei notepad.exe sichern, denn diese wird dabei überschrieben.

Dies ist bereits das zweite Sicherheitsloch, über das sich Nutzer des Internet Explorer trotz aller aktuellen Sicherheitsupdates auf bösartigen Web-Sites zum Beispiel Trojanische Pferde oder Dialer einhandeln können. Das andere nutzt einen Fehler in der Behandlung von MHTML-Dateien aus und ist bereits seit über einem Monat bekannt, ohne dass es dafür einen Patch gibt. Auf dem c't-Browsercheck können Sie testen, ob Ihr Browser für diese Schwachstelle anfällig ist.

Microsoft hat bislang keine Stellungnahme zu den Fehlern abgegeben, kündigte aber unabhängig davon die Veröffentlichung neuer Sicherheitspatches für den 13. Januar 2004 an. Als zusätzlichen Service bietet das Unternehmen seinen Kunden die Möglichkeit, sich am 14. Januar in einer Webcast-Sitzung (online live meeting) über technische Details der Sicherheitspatches zu informieren. (pab)