Zero-Day-Lücke: Internet Explorer gibt Hackern Zugriff auf Dateien
Der Sicherheitsforscher John Page hat eine Zero-Day-Lücke im Internet Explorer bekannt gemacht, die Hackern theoretisch Zugriff auf die Dateien eines Windows-PCs ermöglicht. Microsoft hatte ihm gegenüber zuvor erklärt, zunächst nichts gegen die Sicherheitslücke unternehmen zu wollen.
Bei der Sicherheitslücke handelt es sich um eine XML-External-Entity-Lücke (XXE), die zum Tragen kommt, wenn der Nutzer eine MHT-Datei mit externer Referenz mit einem schlecht konfigurierten XML-Parser öffnet. MHT steht für MIME Encapsulation of Aggregate HTML Documents (MHTML) und bei MHT-Dateien handelt es sich somit um ein standardisiertes Web-Archiv, in dem auch der Internet Explorer Websites speichert. Während viele Browser inzwischen Websites nicht mehr als MHT speichern, sondern als gewöhnliche HTML-Dateien, unterstützen viele Browser – wie auch der Internet Explorer – das Webarchive und dessen Verarbeitung weiterhin.
Die nun veröffentlichte Sicherheitslücke nutzt dabei Schwachstellen in der Verarbeitung der MHT-Dateien im Internet Explorer. Angreifer profitieren zudem davon, dass MHT-Dateien unter Windows standardmäßig mit dem Internet Explorer geöffnet werden. Gelingt es Angreifern, einen Nutzer zum Öffnen eines MHT-Archives zu bewegen, kann theoretisch auf lokale Dateien und Programmversionsinformationen zugegriffen werden. Dabei ist es nicht zwingend notwendig, dass der Nutzer mit der im Archiv abgelegten Website interagiert, sondern über Skripte ließe sich auch dies automatisieren. Auch die vom Internet Explorer vorgesehene Sicherheitswarnung über blockierte ActiveX-Objekte könne deaktiviert werden.
Phishing-Mails als Einfallstor
Selbst wenn das Opfer den Internet Explorer nicht als Standard-Browser einsetzt, ist er somit dem Risiko ausgesetzt, da Windows trotzdem MHT-Dateien mit diesem öffnet. Angriffe über sogenannte Spear-Phishing-Mails mit MHT-Dateien sind deshalb einfach möglich und wurde auch in der Vergangenheit von Hackergruppen bereits durchgeführt.
Aktueller Internet Explorer betroffen
Den Tests von John Page zufolge betrifft die Lücke den aktuelle Internet Explorer in Version 11 mindestens auf Windows 7, Windows 10 und Windows Server 2012 R2 mit allen aktuellen Sicherheitspatches. Auf diesen Betriebssystemen hat er selbst die Sicherheitslücke erfolgreich testen können.
Microsoft will Lücke nicht sofort schließen
Page habe Microsoft am 27. März über die Lücke informiert und diese daraufhin zunächst geheim gehalten. Am 10. April erklärte Microsoft jedoch, dass sie die Lücke nicht umgehend schließen werden, da die Lücke mit einer zukünftigen Version schon geschlossen werde. „Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Behebung dieses Problems veröffentlichen, und wir haben diesen Fall abgeschlossen.“, so Microsoft gegenüber Page.
Diese Antwort von Microsoft veranlasste ihn nun, die Lücke auf seiner Website öffentlich zu machen.