SmartScreen-Filter: Sicherheitsforscher fälscht native Malware-Warnungen von Edge

Die Warnungen blendet der Forscher auch zu legitimen Websites ein. Zudem findet er eine Möglichkeit, den Text der Meldungen nahezu beliebig anzupassen. Ein Proof-of-Concept für die Lücke liegt ebenfalls vor

Der Sicherheitsforscher Manuel Caballero hat eine Sicherheitslücke in Microsofts neuem Browser Edge entdeckt, die es erlaubt, die Warnmeldungen von Microsofts SmartScreen-Filter zu manipulieren. Ein Angreifer könnte einem Opfer vorgaukeln, dass eine legitime Website wie Facebook.com eine Gefahr darstellt und zusätzlich seine eigene Lösung für dieses Problem präsentieren, ohne dass das Opfer den Betrug erkennen kann.

Windows 10: Edge (Bild: ZDNet.de)Der Fehler steckt Caballero zufolge in den von Edge benutzten Protokollen „ms-appx“ und „ms-appx-web“. Apps laden mithilfe dieser Protokolle interne Ressourcen, also beispielsweise lokal gespeicherte Dateien. Edge benutzt sie, um seine nativen Warnmeldungen einzublenden, nachdem der SmartScreen-Filter eine aufgerufene URL als gefährlich eingestuft hat.

Einige der lokal gespeicherten Warnmeldungen blockt Edge jedoch, wenn sie nicht per SmartScreen-Filter aufgerufen werden. Ein Trick erlaubte es dem Forscher jedoch, diese Sicherheitsmaßnahme zu umgehen. Er ersetzte den „Punkt“ im Dateinamen der Warnmeldung durch den ASCII-Code „%2E“. Anschließend war er in der Lage, die Warnmeldung durch die Eingabe einer speziell gestalteten URL in der Adressleiste des Browsers aufzurufen.

Dieser Angriff ist besonders gefährlich, weil Hacker per URL auch den Inhalt der Warnmeldung sowie die in der Adressleiste angezeigte URL definieren können. Der Zusatz des Hashs „#http://www.facebook.com“ lässt es beispielsweise so aussehen, als sei Facebook gefährlich.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Caballero spekuliert, dass diese Sicherheitslücke vor allem für Hacker interessant ist, die sich auf betrügerische Supportdienste spezialisiert haben. Sie können beispielsweise eine eigene Support-Hotline oder –URL in der Warnmeldung hinterlegen, was die Wahrscheinlichkeit deutlich erhöht, dass Nutzer auf ihre Betrugsmasche hereinfallen.

„Ich werde hier aufhören, aber meiner Ansicht nach gibt es noch massenweise Dinge zu untersuchen“, schreibt Caballero in seinem Blog. „Sind Sie neugierig, welche anderen Dinge diese internen Seiten können? Wir können sie jetzt alle ohne Einschränkungen laden.“ Besonders interessant sei die Seite „needie.html“, da sie den Internet Explorer lade und dafür einen zusätzlichen Edge-Prozess starte.

Der Sicherheitsforscher Manuel Caballero hat ein Proof-of-Concept veröffentlicht, mit dem sich Warnmeldungen für beliebige Websites generieren lassen (Screenshot: ZDNet.de).Der Sicherheitsforscher Manuel Caballero hat ein Proof-of-Concept veröffentlicht, mit dem sich Warnmeldungen für beliebige Websites generieren lassen (Screenshot: ZDNet.de).Caballeros Blogeintrag enthält zudem einen Link, um die Sicherheitslücke mit dem eigenen Edge-Browser zu testen. Der Beispielcode erlaubt es sogar, die URL, auf die sich die Warnmeldung beziehen soll, und den Text frei anzupassen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Edge, Microsoft, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu SmartScreen-Filter: Sicherheitsforscher fälscht native Malware-Warnungen von Edge

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *