Ankündigung

Einklappen
Keine Ankündigung bisher.

IE-Erweiterung spioniert Homebanking aus

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • IE-Erweiterung spioniert Homebanking aus

    Das SANS Internet Storm Center hat einen besonders heimtückischen Trojaner entdeckt, der über eine Schwachstelle im Internet Explorer installiert wird und Online-Banking-Daten ausspioniert.

    Der Hinweis kam von einer Firma, die einen Vorfall untersuchte, bei dem eine unbekannte, verschlüsselte Datei auf dem Rechner eines Angestellten installiert wurde. Die weiteren Analysen zeigten, dass die Datei über ein bekanntes Sicherheitsloch des Internet Explorer (Installieren und Ausführen von Dateien via mhtml-Redirect auf dem Browsercheck) dort hin gelangte, aber wegen der eingeschränkten Rechte des Anwenders nicht zur Ausführung kam.

    Die Analyse der Datei enthüllte, dass es sich um ein sogenanntes Browser Helper Object (BHO) handelt. Analog zu den Browser-Erweiterungen bei Mozilla erweitern BHOs den Internet Explorer um zusätzliche Funktionen wie Toolbars. Sie laufen innerhalb des IE-Prozesses und haben Zugang zu allen Ereignissen. Dieses spezielle BHO nutzt diesen Zugang, um gezielt Online-Banking auszuspionieren. Dazu klinkt es sich auch in verschlüsselte https-Verbindungen ein und greift die Daten im Klartext ab. Auf der vom ISC extrahierten Liste mit 49 ausspionierten Banken finden sich unter anderem auch


    .deutsche-bank.de
    .citibank.de
    .sparkasse-banking.de
    banking.lbbw.de
    dit-online.de
    .dab-bank.com


    Die geklauten Daten enthalten Benutzerdaten inklusive Passwörtern. Das Trojaner-BHO sendet sie verschlüsselt an einen externen Server. Durch die Verschlüsselung umgeht es einfache Alarmmechanismen wie die von ZoneAlarm, die verhindern sollen, dass Passwörter ohne Wissen des Anwenders verschickt werden.

    Festzustellen, ob auf dem eigenen Rechner BHOs installiert sind, ist gar nicht so einfach. Denn die Verwaltung von Browser-Erweiterungen ist im Internet Explorer bisher sehr unterentwickelt. Erst zusätzliche Tools wie BHODemon verschaffen einen Überblick über die aktuell installierten BHOs. Mit Service Pack 2 für Windows XP will Microsoft allerdings eine grafische Add-On-Verwaltung nachrüsten (siehe dazu auch: Vergitterte Fenster, Teil 2 auf heise Security).

    Bisher gibt es keine Anzeichen, dass dieser BHO-Trojaner bereits große Verbreitung hat. Alarmierend ist jedoch die Tatsache, dass die Schwachstellen des Internet Explorer immer gezielter und raffinierter ausgenutzt werden. Bereits seit weit über einem Jahr gibt es eigentlich immer ein bekanntes IE-Loch mit der Möglichkeit Programme zu installieren, für das Microsoft noch keinen Patch geliefert hat. Im Moment ist das die Schwachstelle: "Laden und Ausführen beliebiger Dateien über IE-Hilfe" auf dem Browsercheck.

    Das SANS Internet Storm Center hat einen besonders heimtückischen Trojaner entdeckt, der über eine Schwachstelle im Internet Explorer installiert wird und Online-Banking-Daten ausspioniert.
    "Es ist gelogen, dass Videogames Kids beeinflussen. Hätte Pac-Man das getan, würden
    wir heute durch dunkle Räume irren, Pillen fressen und elektronische Musik hören"
    Kristian Wilson, Nintendo Inc. 1989

  • #2
    Demo: Installieren und Ausführen von Dateien via Hilfe
    Der Sicherheitsexperte Jelmer hat eine Web-Seite untersucht, die ohne Nachfrage ein Programm auf dem Rechner des Anwenders installiert. In seiner detaillierten Analyse beschreibt er, dass die Entwickler der Seite mindestens zwei bisher nicht veröffentlichte Löcher des Internet Explorer ausnutzen. Dies funktioniert mit allen aktuellen Sicherheits-Updates (bis zum 7.6.2004).

    Die grundsätzliche Vorgehensweise ist nicht neu. Der Exploit funktioniert in mehreren Schritten:


    Er ruft in einem iFrame eine lokale Hilfeseite auf. Diese Seite läuft dann mit den Rechten des lokalen Rechners.
    Er schreibt via JavaScript eigenen Script-Code in das Hilfefenster. Dieser wird daraufhin mit den Rechten des lokalen Rechners ausgeführt.
    Der Script-Code lädt ein Programm aus dem Internet nach und überschreibt den Windows Media Player mit diesem Programm.
    Der Script-Code ruft eine Multimedia-URL auf, woraufhin Windows den überschriebenen Media Player startet.
    Bereits Schritt 1 sollte eigentlich nicht erlaubt sein, Microsoft hat bereits mehrfach versucht, den Zugriff auf lokale Hilfeseiten durch Internet-Seiten zu unterbinden. Dieser Exploit hebelt diesen Schutz durch ein simples "URL" am Beginn der Hilfe-URL aus (URL:ms-its:C:\\WINDOWS\\Help\\iexplore.chm).

    Schritt 2 ist nach dem Sicherheitsmodell des Internet Explorer ebenfalls verboten. Die Sperre, die verhindern soll, dass Code aus dem Internet lokale Seiten fernsteuert, hebelt der Exploit durch einen sogenannten Cross-Zone-Scripting-Bug des Internet Explorer aus.

    Schritt 3 beruht einmal mehr auf dem ADODB.Stream, der es lokalen Seiten erlaubt, Code aus dem Internet zu laden und in eine beliebige Datei zu schreiben. Diese Funktion betrachten viele Sicherheitsexperten ebenfalls als Sicherheitsproblem, da immer wieder Cross-Zone-Scripting-Bugs bekannt werden, die dann Missbrauch erlauben. Trotz der vielen konkreten Exploits, die diese Funktion nutzen, hat sie Microsoft bislang nicht entschärft sondern statt dessen immer wieder versucht, mit Patches das Zonenmodell abzudichten.

    Demo


    Diese Demo lädt eine Datei von unserem Server und schreibt sie nach "C:\browsercheck.exe". Diese Datei ist harmlos, Sie können sie starten und auch löschen.

    News und Foren zu Computer, IT, Wissenschaft, Medien und Politik. Preisvergleich von Hardware und Software sowie Downloads bei Heise Medien.
    "Es ist gelogen, dass Videogames Kids beeinflussen. Hätte Pac-Man das getan, würden
    wir heute durch dunkle Räume irren, Pillen fressen und elektronische Musik hören"
    Kristian Wilson, Nintendo Inc. 1989

    Kommentar


    • #3
      IE Problem fixen

      Eben von MS reingeflattert.


      Microsoft has released a configuration change that addresses the recent malicious attack against Internet Explorer known as Download.Ject.

      In addition, Microsoft has released a Knowledge Base article, 870669, that provides information that administrators can use to implement this change manually in their environment and to deploy the change across their networks. This Knowledge Base article is available here:

      Microsoft support is here to help you with Microsoft products. Find how-to articles, videos, and training for Microsoft Copilot, Microsoft 365, Windows, Surface, and more.


      Bruno

      Kommentar


      • #4
        Re: IE-Erweiterung spioniert Homebanking aus

        Original geschrieben von schubo
        Bereits seit weit über einem Jahr gibt es eigentlich immer ein bekanntes IE-Loch mit der Möglichkeit Programme zu installieren, für das Microsoft noch keinen Patch geliefert hat. Im Moment ist das die Schwachstelle: "Laden und Ausführen beliebiger Dateien über IE-Hilfe" auf dem Browsercheck.
        Finde sowas mal bei einem OpenSouce-Projekt! Was die sich leisten können - einfach unglaublich...
        Eidg. dipl. Informatiker
        LPI Level 1 Linux Administrator

        Making children use non-free software is teaching them not to share.

        Hard work often pays off after time, <b>but</b> laziness always pays off now!

        Kommentar

        Lädt...
        X