„Cookiejacking“: Stellungnahme von Microsoft zum Cookieklau beim Internet Explorer
Im Rahmen der Sicherheitskonferenz Hack
in the Box hat der unabhängige IT-Sicherheitsexperte Rosario Valotta
demonstriert, wie er durch Ausnutzen einer Schwachstelle im Internet Explorer Cookies
von beliebigen anderen Webnutzern auslesen kann. Verschiedene Medien
berichteten bereits über die Präsentation, darunter heise
security und die Nachrichtenagentur
Reuters. Valotta nennt seinen Angriff Cookiejacking, in Anlehnung an das
alle Webbrowser betreffende Phänomen Clickjacking. Der Angriff ist faktisch
auch eine Abwandlung einer Clickjacking-Attacke.
Betroffen sind alle Versionen des Internet Explorers,
inklusive der aktuellen Version 9, unter allen derzeit unterstützten
Windows-Versionen.
Valotta hat Proof-of-Concept (PoC)-Code ins Internet
gestellt, der geeignet ist, um Cookies von den Webseiten Google Mail und
Facebook zu klauen. Ist der Angreifer im Besitz der Cookies, kann er sich im
Namen seines Opfers bei diesen Onlinediensten anmelden. Microsoft sind derzeit
keine Attacken bekannt, die auf dem PoC-Code basieren.
Angesichts der für einen erfolgreichen Angriff notwendigen
Nutzeraktivität – der Anwender muss zu erst eine bösartig präparierte Webseite
aufsuchen, dort verschiedene Mausklicks ausführen und gleichzeitig beim Dienst angemeldet sein, dessen Logindaten geklaut werden sollen – stuft
Microsoft das Risiko durch die Schwachstelle als moderat ein. Ein hohes Risiko
ginge beispielsweise von der Ausführung beliebigen Codes aus der Ferne (Remote
Code Execution) aus.
Microsoft rät – unabhängig von der aktuellen Schwachstelle,
aber insbesondere im Moment – allen Nutzern des Internet Explorers, sich mit
erhöhter Vorsicht durchs Internet zu bewegen. Vor allem innerhalb Sozialer
Netzwerke lauern oftmals Links zu vermeintlich sensationellen oder skandalösen
Inhalten wie Videos oder Bildern. Die Links führen zu bösartig manipulierten
Webseiten, die beispielsweise dazu dienen könnten, den Anwender die oben
beschriebenen Mausklicks ausführen zu lassen.
Dieser Blogbeitrag wird um neue Informationen erweitert, sobald die Kollegen in den USA weitere Details bekannt geben.