{"id":217208,"date":"2019-04-19T01:13:43","date_gmt":"2019-04-18T23:13:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=217208"},"modified":"2019-04-19T21:52:20","modified_gmt":"2019-04-19T19:52:20","slug":"micropatch-fr-0-day-schwachstelle-im-internet-explorer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/19\/micropatch-fr-0-day-schwachstelle-im-internet-explorer\/","title":{"rendered":"Micropatch für 0-Day Schwachstelle im Internet Explorer"},"content":{"rendered":"

[English<\/a>]Das Team von 0Patch hat einen Micropatch entwickelt, mit dem sich eine 0-Day Information Disclosure-Schwachstelle im Internet Explorer 11 unter Windows 10 schlie\u00dfen l\u00e4sst. Diese Schwachstelle erm\u00f6glicht Angreifern unter Windows auf Dateien zuzugreifen und diese vom System des Benutzers auf eigene Server hochzuladen. Ursache ist eine undokumentierte Edge-Funktion, die den IE 11 unter Windows 10 aufs Kreuz legt.<\/p>\n

<\/p>\n

0-Day Schwachstelle im Internet Explorer<\/h2>\n

\"\"Im Microsoft Internet Explorer gibt es eine Schwachstelle, die Angreifer in allen Windows-Versionen die M\u00f6glichkeit gew\u00e4hrt, auf Dateien zuzugreifen und diese zu stehlen. Microsoft hat jedoch keine Ambitionen, die Schwachstelle zu patchen. Ich hatte vor einigen Tagen \u00fcber das von Sicherheitsforscher John Page entdeckte Problem im Blog-Beitrag 0-day-Schwachstelle im IE 11 erm\u00f6glicht Dateien zu stehlen<\/a> berichtet.<\/p>\n

0Patch st\u00f6\u00dft auf einen nicht dokumentierten Edge-Trick<\/h2>\n

Als Sicherheitsforscher John Page das Problem an Microsoft meldete, kam von Microsoft die Antwort zur\u00fcck, dass man das irgendwann wohl mal fixen w\u00fcrde \u2013 wurde nicht als wichtig angesehen. Das Team von 0Patch hat dann versucht, diesen Angriff \u00fcber .MHT-Dateien unter Windows 7 nachzuvollziehen. Dabei sind die Sicherheitsforscher auf interessante Zusammenh\u00e4nge gesto\u00dfen und haben mich per E-Mail informiert.<\/p>\n

Bei Dateien aus dem Internet klappte der Proof of Concept-Code unter Windows 7 nicht, w\u00e4hrend bei lokal erstellten .MHT-Dateien auf einen Server hochgeladen wurden. Ursache ist, dass der Browser Downloads aus dem Internet mit einem Internet-Zonen-Bit (Zone.Identifier, von 0patch als mark-of-the-web bezeichnet) im alternate data stream<\/a> kennzeichnet. Dann gelten f\u00fcr den Browser strenger Sicherheitsregeln, die solche Angriffe verhindern sollen. Das Ganze ist in diesem Blog-Beitrag<\/a> beschrieben.<\/p>\n

Dann wechselte das Team von 0Patch zu Windows 10 und pl\u00f6tzlich konnten auch aus dem Internet im Edge-Browser heruntergeladene MHT-Dateien beim \u00d6ffnen per Internet Explorer lokale Dateien lesen und an einen Server \u00fcbertragen (also stehlen).\u00a0 Aber warum? Setzt Edge nicht den Zone.Identifier bei heruntergeladenen Dateien, oder macht er es anders und verwirrt den Internet Explorer irgendwie? Das w\u00e4re ein ernsthafter Fehler.<\/p>\n

Zeit f\u00fcr eine Differentialanalyse, bei der zwei MHT-Dateien, die von demselben Ort heruntergeladen wurden, verglichen wurden. Eine wurde mit dem Internet Explorer (msie-xss-0day-1.mht) und die andere mit Edge (msie-xss-0day-2.mht) aus dem Internet herunter geladen. Die Daten aus dem Alternat Data Stream wurde mit einem Editor ge\u00f6ffnet. Dieser zeigte, dass die Dateien leicht unterschiedliche Zone.Identifier Datenstr\u00f6me aufweisen.<\/p>\n

msie-xss-0day-1.mht<\/b>
\n[ZoneTransfer]
\nZoneId=3 <\/b><\/p>\n

msie-xss-0day-2.mht<\/b>
\n[ZoneTransfer]
\nZoneId=3
\nReferrerUrl=http:\/\/www.acrossecurity.com\/test\/
\nHostUrl=http:\/\/www.acrossecurity.com\/test\/msie-xxe-0day-2.mht<\/p>\n

Der Edge-Browser f\u00fcgt zwei URLs in die betreffende Datei ein. Als das Team aber die Zone.Identifier-Information von Datei 1 auf Datei 2 \u00fcbertrugen, \u00e4nderte sich nichts an der existierenden Schwachstelle. Es gab zwei identische Dateien mit identischen Datenstr\u00f6men, und eine von ihnen f\u00fchrte den Exploit aus, w\u00e4hrend die andere es nicht tat.<\/p>\n

<\/a><\/a>
\n(Berechtigungen: links mit Internet Explorer, rechts mit Edge heruntergeladen)<\/p>\n

Nach ein wenig Frustration, schlug Twitter-Nutzer Eric Lawrence vor, die Berechtigungen f\u00fcr diese Dateien zu \u00fcberpr\u00fcfen. Obiges Bild zeigt die Berechtigungen beim Download per IE und Edge. Edge schien zwei Eintr\u00e4ge zum AC der heruntergeladenen Datei hinzugef\u00fcgt zu haben, beide f\u00fcr einige SIDs, die Windows nicht in einen Namen \u00fcbersetzen kann.<\/p>\n

Nach einer l\u00e4ngeren Analyse, die im Blog-Beitrag beschrieben<\/a> ist, stand folgendes fest: Ein von Edge verwendetes undokumentiertes Sicherheitsmerkmal neutralisierte ein bestehendes, zweifellos viel wichtigeres Merkmal (mark-of-the-web) im Internet Explorer. Es handelt sich eindeutig um ein bedeutendes Sicherheitsproblem, zumal der Angriff gegen\u00fcber dem urspr\u00fcnglich nachgewiesenen Proof of Concept (PoC) weiter verbessert werden kann. Denn:<\/p>\n