0-Day-Schwachstellen in IE und Edge

In den aktuellen Versionen des Internet Explorer und des Edge gibt es 0-Day Cross Site Scripting-Schwachstellen, die Angreifer zum Stehen von Daten aus anderen Tabs ausnutzen können. Interessiert aber Microsoft aber bisher wohl nicht die Bohne. Patches gibt es jedenfalls keine, obwohl die Schwachstellen dem Unternehmen vor 10 Monaten gemeldet wurden.

The Hackers News berichtet in diesem Artikel über die Entdeckung des 20-jährigen Sicherheitsforschers James Lee, der seine Erkenntnisse mit der Site teilte. Lee veröffentlichte Details und einen Proof-of-Concept-Exploits für zwei "ungepatchte" Zero-Day-Schwachstellen in Microsofts Webbrowsern. Lee hatte Microsoft vor der Veröffentlichung informiert. Der Konzern reagierte aber angeblich nicht auf seine Mitteilung.

(Quelle: Pexels Markus Spiske CC0 Lizenz)

Same Origin Policy (SOP) verletzt

Die 0-Day-Schwachstellen (da bisher kein Patch verfügbar ist) betreffen jeweils die neueste Version von Microsoft Internet Explorer und den neuesten Edge Browser. Die Schwachstellen ermöglichen es einem entfernten Angreifer, die Richtlinie gleichen Ursprungs – Same Origin Policy (SOP)  – im Webbrowser des Opfers zu umgehen.

Same Origin Policy (SOP) ist ein in modernen Browsern implementiertes Sicherheitsmerkmal, das eine Webseite oder ein Skript, das von einem Ursprung geladen wird, daran hindert, mit einer Ressource eines anderen Ursprungs zu interagieren, und verhindert, dass sich voneinander unabhängige Websites gegenseitig stören.  Besucht man eine Website mit dem Webbrowser, stellt SOP sicher, dass nur Daten gleicher Herkunft[Domäne] angefordert werden können. Dies verhindert, dass eine andere, in einem anderen Tab des Browsers geladene Website Daten von anderen Websites abgreifen kann.

Genau diese Same Origin Policy-Richtlinie funktioniert aber in den genannten Browsern nicht. Die 0-Day-Schwachstellen könnten es einer bösartigen Website ermöglichen, universelle Cross-Site-Scripting (UXSS)-Angriffe auf jede Domäne durchzuführen, die mit den Webbrowsern von Microsoft besucht werden. Online-Banking, das Login in Online-Konten, alles ist unsicher.

Um diese Schwachstellen erfolgreich auszunutzen, müssen Angreifer lediglich ein Opfer davon überzeugen, die bösartige Website zu besuchen. Anschließen können Sie die sensiblen Daten des Opfers, wie Login-Sessions und Cookies aller im gleichen Browser besuchten Websites stehlen.

Microsoft reagiert nicht auf Offenlegung

Lee kontaktierte Microsoft vor zehn Monaten und teilte Details mit. Das Unternehmen ignorierte diese Meldung und reagierte einfach nicht. Zum Zeitpunkt der Offenlegung stehen keine Patches bereit. Der Sicherheitsforscher hat Lee Proof-of-Concept (PoCs) Exploits veröffentlicht. The Hacker News konnte beide 0-Day-Schwachstellen mit den neuesten Versionen des Internet Explorer und des Edge unter einem vollständig gepatchten Windows 10-Betriebssystem verifizieren.

Die neu offenbarten Schwachstellen ähneln denen, die Microsoft im letzten Jahr in seinen Browsern Internet Explorer (CVE-2018-8351) und Edge (CVE-2018-8545) gepatcht hat. Bisher gibt es noch keine Fälle, wo die Schwachstelle ausgenutzt wird. Hacker werden nicht lange brauchen, um die Fehler auszunutzen und Microsoft-Nutzer mit diesen Browsern anzugreifen. Die Nutzer können nichts anderes tun, als auf ihre Browser verzichten und mit dem Chrome oder Firefox (ggf. in portablen Versionen) zu surfen. Heise hat hier einen deutschsprachigen Artikel zum Thema veröffentlicht.