Internet Explorer-Schwachstelle: Klicks verwandeln sich in Remote-Code-Ausführung

Sobald ein Angreifer die Skriptausführung Kontext, kann er die besondere Behandlung der Bereiche localhost und file durch IE nutzen, um lokale HTML-Dateien vom Festplattenpeicher zu öffnen. Diese Ursprungsskalierung wandelt Remote-JavaScript effektiv in ein lokales Ursprungsskript um, das mit höheren Berechtigungen ausgeführt wird.

Die IE-WebBrowser-Angriffs-Kette ermöglicht Remote Code Execution (RCE). Ein subtiler Timing-Fehler in der Art und Weise, wie Internet Explorer Fensteroperationen und Dialoge verarbeitet, ermöglicht es handgefertigtem JavaScript unter http://localhost, lokale HTML-Dateien ohne die üblichen Sicherheitshinweise zu öffnen.

Microsoft hat das direkte Verhalten „lokale Datei öffnen" schließlich behoben, jedoch erst nachdem Forscher nachgewiesen hatten, dass es als erster Sprungbogen in einer mehrstufigen Kette dienen kann.

Sicherheitslage und Risiko

Mit diesem Sprungbogen ist das nächste Ziel des Angreifers, die MOTW zu umgehen, sodass bösartige lokale Inhalte nicht mehr durch die Standard-Sicherheitsprüfungen „Datei öffnen – Sicherheitshinweis" änkt werden. Um dies zu erreichen, kombiniert die Angriffs-Kette Internet Explorer und Microsoft Edge.

Beim localhost-XSS öffnet das Skript ein Microsoft Edge-Fenster zu einer vom Angreifer kontrollierten URL. Unter den richtigen Bedingungen lädt Edge eine HTML-Payload direkt in das Downloads-Verzeichnis des Benutzers, ohne ein MOTW-Tag anzuwenden.

Der IE-WebBrowser-Steuerfeld kann dann neu heruntergeladene lokale Datei umgeleitet werden, wodurch aus einer ursprünglich remote-Payload ein vertrauenswürdig erscheinendes lokales HTML-Dokument mit aktiviertem Skripting und ohne MOTW-Einschränkungen entsteht.

Da das Skript nun in einem

Da das Skript nun in einem privilegierten lokalen Kontext ausgeführt wird, instanziiert der Angreifer über ActiveX hochriskante COM-Objekte wie WScript.Shell. Laut der Forschungsgruppe Objekte historisch dafür bekannt, bei Exposition gegenüber unzuverlässigen Eingaben beliebige Befehlsexecution zu ermöglichen.

Wenn derartige Objekte aus lokalem HTML erstellt werden, zeigt IE eine ActiveX-Sicherheitswarnung an. Sobald der Benutzer jedoch auf „Ja" klickt, kann die Seite Befehle wie calc.exe oder einen vollständigen Malware-Dropper ausführen.

In der Praxis führt diese Kette zu einem „Two-Click-RCE": Ein erster Klick löst den Download des Edge-Downloads aus, gefolgt Genehmigung der ActiveX-Anfrage innerhalb der Legacy-Anwendung. Engineering und UI-Design werden eingesetzt, um beide Klicks als notwendig oder harmlos erscheinen zu lassen.

Technischer Hintergrund

Zusätzliche Forschungsergebnisse zeigen, dass die Ordneransichten und ZIP-Browser-Oberflächen, die über denselben WebBrowser-Steuerzugriff erreichbar sind, die Abhängigkeit des Angreifers können, indem sie Clickjacking ermöglichen.

Durch das Überlagern eines winzigen, dem Mauszeiger folgenden iframes, das eine ZIP- oder Ordneransicht hostet, kann ein Angreifer sicherstellen, dass jeder Benutzerclick auf der Seite effektiv einen Doppelklick auf eine bösartige Datei innerhalb der eingebetteten Explorer-Ansicht auslöst. Dies ermöglicht die Ausführung fehlender MOTW-Durchsetzung.

Verteidiger sollten jede Nutzung des IE-WebBrowser-Steuerzugriffs als Legacy-Risiko behandeln.

Der Ersatz durch moderne, sandbox-basierte Web-Rendering-Kontrollen, die XSS auf lokalen Web-Oberflächen verhindern, die Einschränkung /COM über Richtlinien sowie die Verschärfung der auf MOTW basierenden Ausführungsregeln sind entscheidende Schritte zur Schließung dieser Angriffsfläche. Abi ist eine Sicherheitsredakteurin und Mitautorin bei