Wieder kritische Lücken im Internet Explorer
Die Drag&Drop-Schwachstelle im Internet Explorer ist auch durch den letzten kumulativen Patch von Microsoft nicht vollständig geschlossen. Durch die Kombination mit einer weiteren Lücke ist es wieder möglich, Code in Windows-Systeme zu schleusen.
Die Drag&Drop-Schwachstelle im Internet Explorer [1] ist auch durch den letzten kumulativen Patch von Microsoft [2] nicht vollständig geschlossen. Der Sicherheitsspezialist mit dem Pseudonym http-equiv, der die Schwachstelle ursprünglich entdeckte, hat nun eine Demo im Internet veröffentlicht, die auch auf vollständig gepatchten Windows-XP-SP2-Systemen funktioniert. In Tests von heise Security gelang es, eine ausführbare Datei auf dem Rechner eines Windows-XP-Anwenders zu platzieren. Diesmal musste http-equiv allerdings etwas mehr Aufwand als bei der letzten Demo treiben, um Sicherheitsfunktionen und Restriktionen des Internet Explorers auszutricksen oder zu umgehen.
So erlaubt der Internet Explorer Drag & Drop nur noch für bestimmte Dateitypen -- etwa Bilder und Dokumente. Um diese Einschränkung zu umgehen, erstellte http-equiv ein Hybrid, das sowohl ein animiertes GIF als auch HTML-Code in sich trägt. Als HTML-Datei geöffnet, führt der Browser den eingebauten HTML-Code aus. Diese Datei wird wie bei früheren Exploits via Drag & Drop in einen Windows-Ordner platziert. Da der Dateiname keine Endung enthält, der Server sie aber mit dem Content-Type text/html sendet, versieht sie der Internet Explorer mit der benötigten Endung .htm.
Um diese HTM-Datei nun mit den Rechten der lokalen Zone zu starten, benutzt http-equiv ein als Safe-for-Scripting markiertes lokales ActiveX-Control und lädt damit eine spezielle HTML-Hilfe-Datei von seinem Server nach. Hier kommt eine zweite, neue Schwachstelle im Browser zum Tragen, mit der sich die Zonenbeschränkungen aushebeln lassen. Ein Klick auf einen Button in der Internet-Zone der Demo ruft dann die auf dem System abgelegte Datei in der lokalen Zone auf.
Nachdem Microsoft ADOB.stream [3] und Shell.Application [4] stillgelegt hat, können Skripte auch mit den Rechten der lokalen Zone nicht mehr ohne weiteres Dateien aus dem Internet installieren. Doch dazu zieht http-equiv eine neue Methode aus dem Zylinder: Er simuliert eine Datenbank, die nur aus einer Textdatei auf seinem Server besteht und führt darauf ein SQL-Abfrage aus. Über ADODB.recordset ist es möglich, das zurückgelieferte Ergebnis lokal in eine Datei zu speichern.
Das Resultat ist eine Demo-Seite, die bei einem Drag & Drop und einem Mausklick des Anwenders eine ausführbare Datei an einem vorher bestimmbaren Ort auf dem lokalen System des Anwenders platziert. Nach Angaben von http-equiv ist diese Demo mehr oder minder zusammengeschustert, das Ganze lasse sich jedoch auch automatisieren. Wie schnell das gehen kann, zeigte schon die Demo Ende August [5]. Damals wurde die Lücke zunächst nicht ernst genommen, auch Microsoft sprach von einem geringen Risiko, bis die ersten Seiten im Internet auftauchten [6], die über die Lücke Trojaner einschleusten. Auch der TAN-Nummern stehlende Trojaner Bizex.E [7] nutzte genau diese Lücke.
Einen Patch von Microsoft gibt es nicht; wer ActiveScripting und ActiveX im Internet Explorer deaktiviert, ist durch diese Lücken jedoch nicht gefährdet.
Siehe dazu auch: (dab [8])
- Security Advisory und Demo [9] von http-equiv
URL dieses Artikels:
https://www.heise.de/-110130
Links in diesem Artikel:
[1] https://www.heise.de/news/Infektion-durch-Fehler-im-Internet-Explorer-trotz-Service-Pack-2-100846.html
[2] https://www.heise.de/news/Microsoft-stopft-21-Sicherheitsluecken-108453.html
[3] https://www.heise.de/news/Microsoft-sichert-Internet-Explorer-Update-104099.html
[4] https://www.heise.de/hintergrund/Details-zu-Microsofts-Juli-Patches-270520.html
[5] https://www.heise.de/news/Infektion-durch-Fehler-im-Internet-Explorer-trotz-Service-Pack-2-100846.html
[6] https://www.heise.de/news/Drag-Drop-Schwachstelle-im-Internet-Explorer-wird-bereits-ausgenutzt-102077.html
[7] https://www.heise.de/news/Wurm-Bizex-nutzt-Luecke-im-Internet-Explorer-aus-Update-94067.html
[8] mailto:dab@ct.de
[9] http://lists.netsys.com/pipermail/full-disclosure/2004-October/027778.html
Copyright © 2004 Heise Medien