Internet Explorer: Zero-Day-Lücke ermöglicht Dateidiebstahl von Windows-PCs

Heute veröffentlichte der Sicherheitsforscher John Page Details zu einer XEE-Sicherheitslücke (XML External Entity) in IE, die ausgenutzt werden kann, wenn ein Benutzer eine MHT-Datei öffnet.

Die Schwachstelle liegt in der Art und Weise, wie der Internet Explorer MHT-Dateien verarbeitet. MHT steht für MHTML Web Archive und ist der Standard, in dem alle IE-Browser Webseiten speichern, wenn ein Benutzer den Befehl CTRL+S (Save web page) drückt. Moderne Browser speichern Webseiten nicht mehr im MHT-Format und verwenden das Standard-HTML-Dateiformat. Viele moderne Browser unterstützen jedoch weiterhin die Verarbeitung des Formats.

„Dies kann es entfernten Angreifern theoretisch ermöglichen, lokale Dateien zu exfiltrieren und installierten Programmversionsinformationen auszuspähen“, wie Page erklärt. „Beispiel: Eine Anfrage nach ‚c:\Python27\NEWS.txt‘ kann Versionsinformationen für dieses Programm liefern.“

Da unter Windows alle MHT-Dateien automatisch standardmäßig im Internet Explorer geöffnet sind, ist die Ausnutzung dieser Schwachstelle trivial, da Benutzer nur auf eine Datei doppelklicken müssen, die sie per E-Mail, Instant Messaging oder einem anderen Vektor erhalten haben.

Page erklärt, dass der tatsächlich anfällige Code davon abhängt, wie Internet Explorer mit STRG + K (Registerkarte „Duplizieren“), den Benutzerbefehlen „Druckvorschau“ oder „Drucken“ umgeht. Normalerweise erfordert dies laut Page einige Benutzerinteraktionen, diese Interaktion könnte automatisiert werden und ist nicht erforderlich, um die Schwachstellen-Exploit-Kette auszulösen.

„Ein einfacher Aufruf der Javascript-Funktion window.print() sollte den Zweck erfüllen, ohne dass eine Benutzerinteraktion mit der Webseite erforderlich ist“, sagte er. Darüber hinaus kann auch das Sicherheitswarnsystem des Internet Explorers deaktiviert werden.

„Typischerweise erhalten Benutzer beim Instanziieren von ActiveX-Objekten wie Microsoft.XMLHTTP‘ eine Sicherheitswarnung im IE und werden aufgefordert, blockierte Inhalte zu aktivieren“, sagte der Forscher. „Beim Öffnen einer speziell gestalteten MHT-Datei mit bösartigen Markup-Tags erhält der Benutzer jedoch keine solchen Warnungen vor aktiven Inhalten.“

Er habe den Exploit im neuesten Internet Explorer Browser v11 mit allen aktuellen Sicherheitspatches auf Windows 7, Windows 10 und Windows Server 2012 R2 Systemen erfolgreich getestet, so Page.

Die wahrscheinlich einzige gute Nachricht über diese Offenlegung der Schwachstellen ist die Tatsache, dass der einst dominierende Marktanteil des Internet Explorers laut NetMarketShare auf magere 7,34 Prozent gesunken ist, was bedeutet, dass der Browser selten verwendet wird.

Da Windows jedoch den IE als Standardanwendung verwendet, um MHT-Dateien zu öffnen, müssen Benutzer nicht unbedingt den IE als Standardbrowser eingestellt haben, und sind immer noch anfällig, solange der IE noch auf ihren Systemen vorhanden ist und sie zum Öffnen einer MHT-Datei verleitet werden.

Microsoft lehnt Patch ab

Wie Page erklärte, habe er Microsoft über diese neue IE-Schwachstelle am 27. März informierte, Microsoft lehnte umgehendes Handeln in einem Schreiben vom 10. April an den Forscher ab.

„Wir haben festgestellt, dass eine Lösung für dieses Problem in einer zukünftigen Version dieses Produkts oder Dienstes berücksichtigt wird“, sagte Microsoft laut Page. „Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Behebung dieses Problems veröffentlichen, und wir haben diesen Fall abgeschlossen.“

Nach der heftigen Reaktion von Microsoft veröffentlichte der Forscher auf seiner Website Details über die Zero-Day-Lücke zusammen mit Proof-of-Concept-Code und einer YouTube-Demo.

Diese Schwachstelle sollte trotz der Reaktion von Microsoft nicht auf die leichte Schulter genommen werden. Cybercrime-Gruppen haben in den vergangenen Jahren MHT-Dateien für Spear-Phishing und die Verbreitung von Malware ausgenutzt, und MHT-Dateien waren eine beliebte Möglichkeit, Exploits in manipulierte Pakete zu verpacken und an die Computer der Benutzer weiterzugeben.

Da sie bösartigen Code speichern können, sollten alle MHT-Dateien vor dem Öffnen immer gescannt werden, unabhängig davon, ob die Datei kürzlich empfangen wurde oder ob sie sich seit Monaten auf dem PC befindet.