Eine Schwachstelle oder besser ein Bug in Microsofts Edge-Browser ermöglichte es Angreifern lokale Dateien abzugreifen. Hier einige Informationen zu diesem Thema, wobei der Bug mit den Sicherheitsupdates für Edge im Juni 2018 gefixt wurde.
Anzeige
Es gibt Bugs und Sicherheitslücken, die sind einfach unschön – und dazu gehört auch die Möglichkeit, über den Browser in den Dateien des Benutzers herumzuwühlen und diese von einem Webserver zum Upload abzurufen. Doppelt doof ist das, wenn das in dem von Microsoft hoch gelobten Edge-Browser passiert. Aber es gibt auch die Fälle, wo das Ganze lediglich zur Fußnote taugt.
Gute Nachrichten: Niemand betroffen, Bug gefixt
Der Bug in Edge ist zwar gravierend, da aber die Nutzerzahl dieses Browsers im Bereich mit 'Exotenstatus' rangiert, dürfte kaum jemand betroffen gewesen sein. Das ist die erst gute Nachricht. Die zweite gute Nachricht: Die Schwachstelle CVE-2018-0871 wurde mit den Edge-Sicherheitsupdates von Juni 2018 behoben. Es lassen sich daher aktuell nur ältere, ungepatchte Versionen missbrauchen, um lokale Dateien vom Computer eines Benutzers zu stehlen.
Und zu guter Letzt: Es ist ein Stück Social Engineering zur Ausnutzung der Schwachstelle erforderlich. Was wiederum bedeutet, dass der Angriff nicht automatisiert werden kann und somit eine geringere Gefahr für die Endbenutzer darstellt(e).
Die Edge-Schwachstelle war SOP-bezogen
Die Schwachstelle wurde vom Sicherheitsforscher Ziyahan Albeniz (Netsparker) entdeckt. Der Angriff nutzt den Umstand aus, dass sich die Sicherheitsfunktion Same-Origin Policy (SOP), die alle Browser unterstützen, wohl austricksen lässt. In Edge und allen anderen Browsern soll SOP verhindern, dass ein Angreifer schädlichen Code über einen Link lädt, der nicht mit der gleichen Domäne (Subdomäne), Port und Protokoll übereinstimmt.
Albeniz hat nun herausgefunden, dass die SOP-Implementierung in Edge zwar wie vorgesehen funktioniert. Aber es gibt einen Fall – wenn Benutzer dazu verleitet werden, eine bösartige HTML-Datei auf ihren PC herunterzuladen und dann auszuführen – wo genau dieser Schutz versagt. Führt der Benutzer diese bösartige HTML-Datei aus, wird der Schadcode über das file://-Protokoll geladen. Da es sich um eine lokale Datei handelt, gibt es weder einen Domänen- noch einen Portwert. SOP schlägt nicht an, und ein bösartige Code in der HTML-Datei kann auf alle Daten aus lokalen Dateien, die über eine "file://"-URL zugänglich sind, zugreifen.
Da auf jede Betriebssystemdatei über eine file:// URL innerhalb eines Browsers zugegriffen werden kann, gibt dies dem Angreifer im Wesentlichen die Möglichkeit, jede beliebige lokale Datei zu inspizieren und ggf. abzurufen. Albeniz schreibt, dass er während der Tests Daten von lokalen Computern stehlen und an einen entfernten Server senden konnte. Dazu musste er diese Datei sowohl in Edge als auch in der Mail- und Kalenderanwendung ausführten. Das Ganze wird in nachfolgendem Video gezeigt.
(Quelle: YouTube)
Allerdings muss der Angreifer wissen, wo die gewünschten Dateien gespeichert sind. Eine breite Ausnutzbarkeit durch Malware scheint also nicht gegeben gewesen zu sein. Der Fall ist mehr als Warnung zu sehen. Egal was Microsoft in Sachen 'Edge ist ein moderner, sicherer, energiesparender und schneller Browser, der den Mitbewerb um Längen schlägt' behauptet, der Teufel liegt im Detail.
Anzeige
Microsoft hat diese Schwachstelle zwar in den letzten Versionen von Edge, der Mail- und Kalender-App behoben. Albeniz möchte mit dem Beispiel nun aber die Benutzer vor den Gefahren warnen, die mit der Ausführung von HTML-Dateien, die sie von fremden Personen oder per E-Mail erhalten, verbunden sind. Details wurden von Albeniz in diesem Blog-Beitrag beschrieben – Bleeping Computer hat hier einen Beitrag veröffentlicht.
2015
