Ausnutzung von Schwachstellen
Zero Day XXE-Lücke im Internet Explorer
Eine Zero-Day XML XXE (External Entity) Injection-Lücke im Internet Explorer (IE) ermöglicht es einem Angreifer, vertrauliche Informationen zu stehlen.
Save to Folio
Originalartikel von Ranga Duraisamy und Kassiane Westell, Vulnerability Researchers
Kürzlich veröffentlichte der Sicherheitsforscher John Page eine Zero-Day XML XXE (External Entity) Injection-Lücke im Internet Explorer (IE). Über diese Sicherheitslücke kann ein Angreifer vertrauliche Informationen stehlen oder lokale Dateien von der Maschine des Opfers herausfiltern. Die Schwachstelle betrifft die neuesten Versionen des IE (11) mit aktuellen Patches unter Windows 7 und 10, sowie Windows Server 2012 R2. Um besser dagegen vorgehen zu können, ist es wichtig, den Angriffsablauf und die Funktionsweise zu verstehen.
XXE-Injection funktioniert, indem ein XML Parser mit nicht sachgemäß eingeschränkter XML externer Entitätsreferenz (CWE-611) ausgenutzt wird, um auf nicht autorisierte Inhalte zuzugreifen. XXE-Injection nutzt auch die falsch konfigurierte Document Type Definition (CWE-827) aus. Diese wird dazu verwendet, um Dokumententypen für Markup Languages wie XML zu definieren. Ein Angreifer kann beispielsweise eine bösartige XML-Datei mit externer Entitätsreferenz verwenden, die das"file://"-Protokoll missbraucht, um auf lokale Dateien zuzugreifen, oder "http://", um auf Dateien auf Webservern.
Im aktuellen Fall, wird der Fehler getriggert, wenn eine speziell erstellte MIME HTML Webarchiv (.mht)-Datei geöffnet wird und der Nutzer mit dem Browser interagiert, um etwa einen neuen Tab in IE zu öffnen oder eine Datei zu drucken. Doch kann die Nutzerinteraktion auch von JavaScript-Funktionen wie window.print() simuliert werden. Sobald der Benutzer die bösartige.mht-Datei öffnet, kann der Angreifer Dateien aus dem System des Benutzers herausfiltern. Die erfolgreiche Nutzung dieser Schwachstelle hängt stark von Social Engineering ab. So müssen Angreifer den Benutzer beispielsweise dazu bringen, eine bösartige.mht-Datei herunterzuladen und lokale Einstellungen manuell auszulösen.
Trend Micro hat die Analyseergebnisse an Microsoft weitergegeben, woraufhin es eine offizielle Stellungnahme gab: „Internet Explorer allein erlaubt diese Art von bösartigem Verhalten nicht. Ein Angreifer muss einen Nutzer über Social Engineering-Tricks dazu bringen, ein bösartiges Dokument herunterzuladen, sei es über Spam oder Phishing.“ Bislang hat Microsoft keinen Fix für die Schwachstelle geliefert.
Auswirkungen
Außer dem Diebstahl vertraulicher Daten kann die erfolgreiche Ausnutzung der Lücke auch Reconnaissance-Informationen für weitere Angriffe oder dem Launch von zusätzlichen Payloads liefern. So lassen sich beispielsweise die installierten Anwendungen des Clients, die Netzwerkkonfiguration, die Berechtigungen und Details zum Virenschutz an einen Angreifer weitergeben. XXE-Injections sind keine neue Technik, dennoch führen sie zu hohen Sicherheitsrisiken. XXE-Angriffe werden auch in den Top Ten der Open Web Application Security Project (OWASP) aufgeführt als Sicherheitsrisiken für Anwendungen und Features in beliebter Software oder in Tools. Die Ausnutzung von .mht-Dateien als Angriffsvektor ist ebenfalls bemerkenswert, denn die Technik wird auch von Exploit Kits und Information Stealer eingesetzt. Technische Details über den Ablauf des Angriffs gibt es im Originalbeitrag.
Trend Micro-Lösungen
Nutzer sollten beim Öffnen von Dateien aus unbekannten Quellen Vorsicht walten lassen. Auch vom Anklicken von Links oder dem Download und das Öffnen von Dateien aus nicht angeforderten Quellen ist dringend abzuraten. Betriebssystem und Anwendungen müssen immer auf aktuellem Stand sein (oder Altsysteme über Virtual Patching geschützt werden). Systemadministratoren, Entwickler und Programmierer sollten Best Practices beachten. OWASP, liefert etwa eine Liste mit Empfehlungen, um XXE-Probleme zu vermeiden.
Trend Micro™ Deep Security™ und Vulnerability Protection können Kundensysteme vor Bedrohungen, die diese Schwachstelle ausnutzen, schützen. Dafür gibt es folgende DPI-Regel:
- 1005676 – Identified Download Of XML File With External Entity Reference
Trend Micro™TippingPoint™-Kunden werden über folgenden MainlineDV-Filter geschützt:
- 13855 – TCP: XML External Entity (XXE) Usage