[English]Im Microsoft Internet Explorer gibt es eine Schwachstelle, die Angreifer in allen Windows-Versionen die Möglichkeit gewährt, auf Dateien zuzugreifen und diese zu stehlen. Microsoft hat jedoch keine Ambitionen, die Schwachstelle zu patchen.
Anzeige
Der Internet Explorer ist bisher (konkret seit 1995) auf allen Windows-Systemen im Installationsumfang dabei. Komponenten (Anzeige von Hilfedateien) des IE sind dabei so im System integriert, dass sie auch nicht entfernt werden können. In der aktuellen Version des Internet Explorer 11 existiert eine XML Externe Entität Injektions-Schwachstelle. Entdeckt hat die Schwachstelle der Sicherheitsforscher John Page, der hier einen Kurzhinweis zur Schwachstelle gepostet hat.
XML External Entity Injection-Schwachstelle
Der Internet Explorer ist anfällig für den Angriff auf XML External Entity-Elemente, wenn ein Benutzer eine speziell gestaltete .MHT-Datei lokal öffnet. Dies kann es Remote Angreifern ermöglichen, potenziell lokale Dateien abzugreifen (exfiltrieren) und Fernerkundungen bei lokal installierten Systemen durchzuführen.
Page hat ein Beispiel skizziert: Eine Abfrage über die .mht-Datei nach "c:\Python27\NEWS.txt" kann dem Angreifer über die zurückgelieferte .txt-Datei Versionsinformationen für dieses Programm zurückgeben. Existiert die Datei nicht, weiß der Angreifer, dass kein Python installiert ist.
Beim lokalen Öffnen einer bösartigen ".MHT"-Datei sollte der Internet Explorer gestartet werden (das ist selbst in Windows 10 noch möglich, da der Dateityp .mht mit dem IE 11 verknüpft ist). Im Beispiel werden nach dem Öffnen des IE 11 per .mht-Datei einfach Benutzerinteraktionen simuliert. So lassen sich mit den gesendeten Entitäten "Strg+K"-Befehle ausführen, um zwei Registerkarten im Browser zu öffnen. Auch andere Interaktionen wie ein Rechtsklick mit Auswahl der Befehle "Druckvorschau" oder "Drucken" auf der Webseite können ebenfalls die XXE-Schwachstelle auslösen. Andererseits reicht ein einfacher Aufruf der Javascript-Funktion window.print(), um eine Webseite zur Demonstration ohne eine Benutzerinteraktion zu drucken.
Anzeige
Falls Dateien aus dem Internet in einem komprimierten Archiv heruntergeladen und mit bestimmten Archivierungsprogrammen geöffnet werden, funktioniert die Demo möglicherweise nicht wie angekündigt.
Typischerweise erhalten Benutzer beim Instanziieren von ActiveX-Objekten wie "Microsoft.XMLHTTP" eine Sicherheitswarnleiste im IE angezeigt und werden aufgefordert, blockierte Inhalte zu aktivieren. Beim Öffnen einer speziell erstellten .MHT-Datei mit bösartigen <xml> Markup-Tags erhält der Benutzer jedoch keine solchen
Warnungen vor aktiven Inhalten per Sicherheitsleiste angezeigt.
Proof-of-Concept – Microsoft will irgendwann patchen
Page hat das erfolgreich mit dem neuesten Internet Explorer 11 mit den neuesten Sicherheitspatches auf Win7/10 und Server 2012 R2 getestet. Auf YouTube gibt es dieses Video, welches den Angriff zeigt. Auf der Seite hier finden sich weitere Informationen sowie ein Beispiel für eine .MHT-Datei.
Der Sicherheitsforscher hat die sogenannte Information-Disclosure-Schwachstelle (ermöglicht Informationen abzurufen) am 27. März 2019 an Microsoft gemeldet. Die Einreichung der Schwachstelle wurde am 27. März 2019 auch durch den Hersteller bestätigt. Am 28. März 2019 hat Microsoft ein sogenanntes Case zur Untersuchung des Problems eröffnet. Am 10. April 2019 (einen Tag nach dem April 2019 Patchday) erhielt Page die Rückmeldung:
"We determined that a fix for this issue will be considered in a future version of this product or service. At this time, we will not be providing ongoing updates of the status of the fix for this issue, and we have closed this case."
Microsoft hat also beschlossen, dieses Problem in einem kommenden Update zu beheben und die Schwachstelle zu schließen. Page hat darauf hin diese Schwachstelle öffentlich gemacht. Administratoren bleibt aktuell nur, die Verknüpfung von .mht-Dateien mit dem Internet Explorer aufzuheben, wenn sie die Schwachstelle schließen möchten. Danke an Blog-Leser Rudi für den Link auf diesen Artikel und Blog-Leser leon für einen weiteren Hinweis. Heise hat inzwischen ebenfalls einen Beitrag veröffentlicht.
Anzeige
Für mht-Dateien gibt es zwei Dateiendungen: mht und mhtml. Wer die Verknüpfung von .mht zum IE aufhebt, sollte auch die Verknüpfung für .mhtml aufheben. Ich habe bei mir beide Verknüpfungen aufs Notepad umgebogen.
Diesen "Browser" habe ich schon lange auf jedem Rechner unter
Systemsteuerung, Programme Features, Windows Features deaktiviert/deinstalliert
Das Problem sollte damit behoben sein oder?
Imho nein – denn das Entfernen des IE 11 beseitigt nur die GUI des Browsers. Die restlichen Komponenten sind m.W. weiterhin an Bord – werden ja zur Anzeige der Hilfe, der Systemsteuerung, und auch der Einstellungenseite bei Win10 etc. benötigt. Überall, wo HTML zum Einsatz kommt, sind die internen IE-Komponenten in Form von DLLs erforderlich. Lasse mich aber gerne überzeugen, dass dem nicht mehr so ist.
Es mag schon sein das gewisse Komponenten noch vorhanden sind, aber:
Wenn ich probiere eine *.mht oder eine *.mhtml Datei zu öffnen, kommt eine Meldung
"Dieser Vorgang ist nur für Produkte gültig die zurzeit installiert sind"
Da ich den Internet Explorer deinstalliert habe, wundert mich diese Fehlermeldung nicht ;)
Also sollte diese Lösung doch ausreichend sein, oder?
Wer wildfremde Dateien doppelklickt gehört eh mit dem nassen Handtuch erschlagen!
Hätten sie das Fossil doch bloß mit dem Erscheinen von Edge aus Win10 entfernt und optional im Store angeboten. Jetzt schlummern schon zwei schimmelige Browser und ein Flashplayer im "modernen" Betriebssystem.
Vor ActiveX-Objekten wird doch schon seit Ewigkeiten gewarnt.
Da ich den IE nur im Notfall nutze, was so gut wie nie vorkommt, sind da auch keine BHO 's installiert.
Mir ist bekannt, das im IE ActiveX Aufgaben im Hintergrund ausführt.
Wissentlich habe ich noch keine mht Datei öffnen sollen/müssen.