Microsoft-Browser Edge: Warnmeldungen manipulierbar

Peter Marwan,
Windows 10: Legacy Edge (Bild: ZDNet.de)

Sicherheitsforscher Manuel Caballero zufolge lässt sich nicht nur der Inhalt der Warnmeldungen anpassen, sondern können auch für seriöse und saubere Seiten Warnmeldungen ausgegeben werden. Caballero hat einen Proof-of-Concept vorgelegt, mit dem sich die Lücke ausnutzen lässt.

Eine Sicherheitslücke in Microsofts Browser Edge erlaubt es, die Warnmeldungen des Smart-Screen-Filters zu manipulieren. Angreifer könnten Nutzern so etwa vorgaukeln, dass eine einwandfreie Website gefährlich ist und sie auffordern, das vermeintliche Problem zum Beispiel mit einem Software-Update zu beheben. So wäre es ihnen möglich, Malware zu verbreiten oder betrügerische Support-Dienste anzubieten. Darauf hat der Sicherheitsforscher Manuel Caballero hingewiesen

Caballero steckt der Fehler zufolge in den bei Edge verwendeten Protokollen “ms-appx” und “ms-appx-web”. Mit deren Hilfe laden Apps interne Ressourcen, beispielsweise lokal gespeicherte Dateien. Edge greift auf sie zurück, um seine Warnmeldungen einzublenden, sobald der Smart-Screen-Filter eine aufgerufene URL als gefährlich einstuft.

Browser Edge (Grafik: Microsoft)
Neun der nun g

Edge blockiert jedoch einige der lokal gespeicherten Warnmeldungen, wenn sie nicht per Smart-Screen-Filter aufgerufen werden. Mit einem Trick konnte Caballero diese Sicherheitsmaßnahme jedoch umgehen. Dazu ersetzte er den “Punkt” im Dateinamen der Warnmeldung durch den ASCII-Code “%2E”. Anschließend konnte er Warnmeldung durch die Eingabe einer bestimmten URL in der Adressleiste des Browsers aufrufen.

Gefährlich ist das, weil Hacker mit so einer URL nicht nur en Inhalt der Warnmeldung sondern auch die in der Adressleiste angezeigte URL bestimmen können. “#http://www.facebook.com” führt etwa dazu, dass es so aussieht, als sei die Website von Facebook gefährlich.

Diese Sicherheitslücke könnte laut Caballero zum Beispiel für die sogenannten “Tech-Support-Scammer” interessant sein. Diese Spezies von Cyberkriminellen nutzt nach ihren eher plumpen Annäherungsversuchen in der Vergangenheit inzwischen auch technische Lücken aus, um sich unter dem Deckmantel vermeintlicher Support-Dienstleistungen Zugriff auf fremde Rechner zu verschaffen. Sie könnten ihre “Hotline” oder eine URL in der Warnmeldung hinterlegen, und Nutzer so in die Falle locken.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Zum Artikel »

Caballero bietet in seinem Blogeintrag auch einen Link an, um die Sicherheitslücke mit dem eigenen Edge-Browser zu testen. Der dort verfügbare Beispielcode erlaubt es, die URL, auf die sich die Warnmeldung beziehen soll, un den dargestellten Text frei anzupassen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.