Wieder kritische Lücken im Internet Explorer
Die Drag&Drop-Schwachstelle im Internet Explorer ist auch durch den letzten kumulativen Patch von Microsoft nicht vollständig geschlossen. Durch die Kombination mit einer weiteren Lücke ist es wieder möglich, Code in Windows-Systeme zu schleusen.
Die Drag&Drop-Schwachstelle im Internet Explorer ist auch durch den letzten kumulativen Patch von Microsoft nicht vollständig geschlossen. Der Sicherheitsspezialist mit dem Pseudonym http-equiv, der die Schwachstelle ursprünglich entdeckte, hat nun eine Demo im Internet veröffentlicht, die auch auf vollständig gepatchten Windows-XP-SP2-Systemen funktioniert. In Tests von heise Security gelang es, eine ausführbare Datei auf dem Rechner eines Windows-XP-Anwenders zu platzieren. Diesmal musste http-equiv allerdings etwas mehr Aufwand als bei der letzten Demo treiben, um Sicherheitsfunktionen und Restriktionen des Internet Explorers auszutricksen oder zu umgehen.
So erlaubt der Internet Explorer Drag & Drop nur noch für bestimmte Dateitypen -- etwa Bilder und Dokumente. Um diese Einschränkung zu umgehen, erstellte http-equiv ein Hybrid, das sowohl ein animiertes GIF als auch HTML-Code in sich trägt. Als HTML-Datei geöffnet, führt der Browser den eingebauten HTML-Code aus. Diese Datei wird wie bei früheren Exploits via Drag & Drop in einen Windows-Ordner platziert. Da der Dateiname keine Endung enthält, der Server sie aber mit dem Content-Type text/html sendet, versieht sie der Internet Explorer mit der benötigten Endung .htm.
Um diese HTM-Datei nun mit den Rechten der lokalen Zone zu starten, benutzt http-equiv ein als Safe-for-Scripting markiertes lokales ActiveX-Control und lädt damit eine spezielle HTML-Hilfe-Datei von seinem Server nach. Hier kommt eine zweite, neue Schwachstelle im Browser zum Tragen, mit der sich die Zonenbeschränkungen aushebeln lassen. Ein Klick auf einen Button in der Internet-Zone der Demo ruft dann die auf dem System abgelegte Datei in der lokalen Zone auf.
Nachdem Microsoft ADOB.stream und Shell.Application stillgelegt hat, können Skripte auch mit den Rechten der lokalen Zone nicht mehr ohne weiteres Dateien aus dem Internet installieren. Doch dazu zieht http-equiv eine neue Methode aus dem Zylinder: Er simuliert eine Datenbank, die nur aus einer Textdatei auf seinem Server besteht und führt darauf ein SQL-Abfrage aus. Über ADODB.recordset ist es möglich, das zurückgelieferte Ergebnis lokal in eine Datei zu speichern.
Das Resultat ist eine Demo-Seite, die bei einem Drag & Drop und einem Mausklick des Anwenders eine ausführbare Datei an einem vorher bestimmbaren Ort auf dem lokalen System des Anwenders platziert. Nach Angaben von http-equiv ist diese Demo mehr oder minder zusammengeschustert, das Ganze lasse sich jedoch auch automatisieren. Wie schnell das gehen kann, zeigte schon die Demo Ende August. Damals wurde die Lücke zunächst nicht ernst genommen, auch Microsoft sprach von einem geringen Risiko, bis die ersten Seiten im Internet auftauchten, die über die Lücke Trojaner einschleusten. Auch der TAN-Nummern stehlende Trojaner Bizex.E nutzte genau diese Lücke.
Einen Patch von Microsoft gibt es nicht; wer ActiveScripting und ActiveX im Internet Explorer deaktiviert, ist durch diese Lücken jedoch nicht gefährdet.
Siehe dazu auch: (dab)
- Security Advisory und Demo von http-equiv
