SmartScreen-Filter: Sicherheitsforscher fälscht native Malware-Warnungen von Edge

Der Sicherheitsforscher Manuel Caballero hat eine Sicherheitslücke in Microsofts neuem Browser Edge entdeckt, die es erlaubt, die Warnmeldungen von Microsofts SmartScreen-Filter zu manipulieren. Ein Angreifer könnte einem Opfer vorgaukeln, dass eine legitime Website wie Facebook.com eine Gefahr darstellt und zusätzlich seine eigene Lösung für dieses Problem präsentieren, ohne dass das Opfer den Betrug erkennen kann.

Der Fehler steckt Caballero zufolge in den von Edge benutzten Protokollen „ms-appx“ und „ms-appx-web“. Apps laden mithilfe dieser Protokolle interne Ressourcen, also beispielsweise lokal gespeicherte Dateien. Edge benutzt sie, um seine nativen Warnmeldungen einzublenden, nachdem der SmartScreen-Filter eine aufgerufene URL als gefährlich eingestuft hat.

Einige der lokal gespeicherten Warnmeldungen blockt Edge jedoch, wenn sie nicht per SmartScreen-Filter aufgerufen werden. Ein Trick erlaubte es dem Forscher jedoch, diese Sicherheitsmaßnahme zu umgehen. Er ersetzte den „Punkt“ im Dateinamen der Warnmeldung durch den ASCII-Code „%2E“. Anschließend war er in der Lage, die Warnmeldung durch die Eingabe einer speziell gestalteten URL in der Adressleiste des Browsers aufzurufen.

Dieser Angriff ist besonders gefährlich, weil Hacker per URL auch den Inhalt der Warnmeldung sowie die in der Adressleiste angezeigte URL definieren können. Der Zusatz des Hashs „#http://www.facebook.com“ lässt es beispielsweise so aussehen, als sei Facebook gefährlich.

Caballero spekuliert, dass diese Sicherheitslücke vor allem für Hacker interessant ist, die sich auf betrügerische Supportdienste spezialisiert haben. Sie können beispielsweise eine eigene Support-Hotline oder –URL in der Warnmeldung hinterlegen, was die Wahrscheinlichkeit deutlich erhöht, dass Nutzer auf ihre Betrugsmasche hereinfallen.

„Ich werde hier aufhören, aber meiner Ansicht nach gibt es noch massenweise Dinge zu untersuchen“, schreibt Caballero in seinem Blog. „Sind Sie neugierig, welche anderen Dinge diese internen Seiten können? Wir können sie jetzt alle ohne Einschränkungen laden.“ Besonders interessant sei die Seite „needie.html“, da sie den Internet Explorer lade und dafür einen zusätzlichen Edge-Prozess starte.

Der Sicherheitsforscher Manuel Caballero hat ein Proof-of-Concept veröffentlicht, mit dem sich Warnmeldungen für beliebige Websites generieren lassen (Screenshot: ZDNet.de).Caballeros Blogeintrag enthält zudem einen Link, um die Sicherheitslücke mit dem eigenen Edge-Browser zu testen. Der Beispielcode erlaubt es sogar, die URL, auf die sich die Warnmeldung beziehen soll, und den Text frei anzupassen.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.