{"id":216965,"date":"2019-04-13T06:29:36","date_gmt":"2019-04-13T04:29:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=216965"},"modified":"2019-04-13T11:57:30","modified_gmt":"2019-04-13T09:57:30","slug":"0-day-schwachstelle-im-ie-11-ermglicht-dateien-zu-stehlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/13\/0-day-schwachstelle-im-ie-11-ermglicht-dateien-zu-stehlen\/","title":{"rendered":"0-day-Schwachstelle im IE 11 ermöglicht Dateien zu stehlen"},"content":{"rendered":"

[English<\/a>]Im Microsoft Internet Explorer gibt es eine Schwachstelle, die Angreifer in allen Windows-Versionen die M\u00f6glichkeit gew\u00e4hrt, auf Dateien zuzugreifen und diese zu stehlen. Microsoft hat jedoch keine Ambitionen, die Schwachstelle zu patchen.<\/p>\n

<\/p>\n

\"\"Der Internet Explorer ist bisher (konkret seit 1995) auf allen Windows-Systemen im Installationsumfang dabei. Komponenten (Anzeige von Hilfedateien) des IE sind dabei so im System integriert, dass sie auch nicht entfernt werden k\u00f6nnen. In der aktuellen Version des Internet Explorer 11 existiert eine XML Externe Entit\u00e4t Injektions-Schwachstelle. Entdeckt hat die Schwachstelle der Sicherheitsforscher John Page, der hier<\/a> einen Kurzhinweis zur Schwachstelle gepostet hat.<\/p>\n

XML External Entity Injection-Schwachstelle<\/h2>\n

Der Internet Explorer ist anf\u00e4llig f\u00fcr den Angriff auf XML External Entity-Elemente, wenn ein Benutzer eine speziell gestaltete .MHT<\/em>-Datei lokal \u00f6ffnet. Dies kann es Remote Angreifern erm\u00f6glichen, potenziell lokale Dateien abzugreifen (exfiltrieren) und Fernerkundungen bei lokal installierten Systemen durchzuf\u00fchren.<\/p>\n

Page hat ein Beispiel skizziert: Eine Abfrage \u00fcber die .mht<\/em>-Datei nach \"c:\\Python27\\NEWS.txt\" kann dem Angreifer \u00fcber die zur\u00fcckgelieferte .txt-Datei Versionsinformationen f\u00fcr dieses Programm zur\u00fcckgeben. Existiert die Datei nicht, wei\u00df der Angreifer, dass kein Python installiert ist.<\/p>\n

Beim lokalen \u00d6ffnen einer b\u00f6sartigen \".MHT\"-Datei sollte der Internet Explorer gestartet werden (das ist selbst in Windows 10 noch m\u00f6glich, da der Dateityp .mht<\/em> mit dem IE 11 verkn\u00fcpft ist). Im Beispiel werden nach dem \u00d6ffnen des IE 11 per .mht<\/em>-Datei einfach Benutzerinteraktionen simuliert. So lassen sich mit den gesendeten Entit\u00e4ten \"Strg+K\"-Befehle ausf\u00fchren, um zwei Registerkarten im Browser zu \u00f6ffnen. Auch andere Interaktionen wie ein Rechtsklick mit Auswahl der Befehle \"Druckvorschau\" oder \"Drucken\" auf der Webseite k\u00f6nnen ebenfalls die XXE-Schwachstelle ausl\u00f6sen. Andererseits reicht ein einfacher Aufruf der Javascript-Funktion window.print()<\/em>, um eine Webseite zur Demonstration ohne eine Benutzerinteraktion zu drucken.<\/p>\n

Falls Dateien aus dem Internet in einem komprimierten Archiv heruntergeladen und mit bestimmten Archivierungsprogrammen ge\u00f6ffnet werden, funktioniert die Demo m\u00f6glicherweise nicht wie angek\u00fcndigt.<\/p><\/blockquote>\n

Typischerweise erhalten Benutzer beim Instanziieren von ActiveX-Objekten wie \"Microsoft.XMLHTTP\" eine Sicherheitswarnleiste im IE angezeigt und werden aufgefordert, blockierte Inhalte zu aktivieren. Beim \u00d6ffnen einer speziell erstellten .MHT<\/em>-Datei mit b\u00f6sartigen <xml> Markup-Tags erh\u00e4lt der Benutzer jedoch keine solchen
\nWarnungen vor aktiven Inhalten per Sicherheitsleiste angezeigt.<\/p>\n

Proof-of-Concept \u2013 Microsoft will irgendwann patchen<\/h2>\n

Page hat das erfolgreich mit dem neuesten Internet Explorer 11 mit den neuesten Sicherheitspatches auf Win7\/10 und Server 2012 R2 getestet. Auf YouTube gibt es dieses Video<\/a>, welches den Angriff zeigt. Auf der Seite hier<\/a> finden sich weitere Informationen sowie ein Beispiel f\u00fcr eine .<\/em>MHT<\/em>-Datei.<\/p>\n

Der Sicherheitsforscher hat die sogenannte Information-Disclosure-Schwachstelle (erm\u00f6glicht Informationen abzurufen) am 27. M\u00e4rz 2019 an Microsoft gemeldet. Die Einreichung der Schwachstelle wurde am 27. M\u00e4rz 2019 auch durch den Hersteller best\u00e4tigt. Am 28. M\u00e4rz 2019 hat Microsoft ein sogenanntes Case zur Untersuchung des Problems er\u00f6ffnet. Am 10. April 2019 (einen Tag nach dem April 2019 Patchday) erhielt Page die R\u00fcckmeldung:<\/p>\n

\"We determined that a fix for this issue will be considered in a future version of this product or service. At this time, we will not be providing ongoing updates of the status of the fix for this issue, and we have closed this case.\"<\/p><\/blockquote>\n

Microsoft hat also beschlossen, dieses Problem in einem kommenden Update zu beheben und die Schwachstelle zu schlie\u00dfen. Page hat darauf hin diese Schwachstelle \u00f6ffentlich gemacht. Administratoren bleibt aktuell nur, die Verkn\u00fcpfung von .mht<\/em>-Dateien mit dem Internet Explorer aufzuheben, wenn sie die Schwachstelle schlie\u00dfen m\u00f6chten. Danke an Blog-Leser Rudi f\u00fcr den Link auf diesen Artikel<\/a> und Blog-Leser leon f\u00fcr einen weiteren Hinweis. Heise hat inzwischen ebenfalls einen Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Microsoft Internet Explorer gibt es eine Schwachstelle, die Angreifer in allen Windows-Versionen die M\u00f6glichkeit gew\u00e4hrt, auf Dateien zuzugreifen und diese zu stehlen. Microsoft hat jedoch keine Ambitionen, die Schwachstelle zu patchen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1417,4328],"class_list":["post-216965","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ie","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216965"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216965\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}