Erste Websites hosten VML-Exploit

EnterpriseSicherheit

Hacker haben jetzt das VML-Loch, das im Internet Explorer und in Outlook klafft, angegriffen.

Die Sicherheitsexperten von Websense berichten, es seien E-Mails in Umlauf, die Links zu einer Seite mit VML-Exploit beinhalten. Nutzer werden unter anderem auf solche Seiten gelockt, in dem ihnen vorgegaukelt wird, es handle sich um eine Yahoo-Grußkarte.

Dabei sind Nutzer-PCs bereits dann gefährdet, wenn eine entsprechende Seite nur angesurft wird, da das VML-Exploit in einem 1-by-1-Pixel-iFrame versteckt ist, das lediglich wie ein verirrter Punkt auf der Webseite ausschaut. Die Seite lädt dann ein sogenanntes Helper Object herunter, das jeglichen http-Verkehr aus Formularen – zum Beispiel das Log-in vom Online-Banking – an Dritte weiterreicht. 

“Jedes Formular, das ausgefüllt wird, wird an Dritte weitergeleitet”, sagte Websense-Experte Dan Hubbard. “Wir haben einiges davon gesehen.” Dabei habe es sich auch um Nutzernamen und Passwörter gehandelt. “Überraschenderweise haben wir bisher noch keine Massenmails gesehen, aber einige Leute haben bereits versucht, sich Zugang zu der Seite zu verschaffen.”

Das Exploit basiert auf der Hackersoftware WebAttacker, die für das VML-Exploit aktualisiert wurde. Allerdings enthält das Update noch Fehler – das ist nach Hubbards Worten möglicherweise der Grund dafür, dass nicht mehr Seiten den Exploit hosten und auch kein Massen-Mailing stattgefunden hat.