Beunruhigende Nachrichten für Nutzer des Microsoft-Browsers Internet Explorer, der vor allem in Firmen im Einsatz ist. Per JavaScript lässt sich der Browser über eine Serien von sich unendlich öffnenden Popups angreifen – was neue Angriffsvektoren für betrügerische Werbeeinblendungen (AD-Fraud), Support-Belästigungen (Tech Scam) und sogar Zero-Day-Attacken eröffnet.
Popups für den IE 11
Der argentinische Sicherheits-Experte Manuel Caballero hat das Problem vor einigen Tagen in seinem Blog im Beitrag The Attack of the Alerts and the Zombie Script thematisiert. Es reichen ein paar Zeilen JavaScript-Code, um den Benutzer eines Internet Explorer 11 beim Besuch einer Webseite in den Wahnsinn zu treiben. Ich habe das man mit folgendem kurzen HTML-Snippet umgesetzt.
<html lang="en-US">
<head>
<title>Angriff auf den IE</title>
</head>
<body>
Ein Test für nicht stoppbare Popups ...
<script>
doc = new ActiveXObject("htmlFile");
win = doc.Script; // win is the window object of the ActiveXObject
win.alert("Hallo");
win.alert("reingefallen, das nächste Popup");
win.alert("ich sagte doch, nichts kann mich stoppen!");
</script>
</body
Wird die Datei im Internet Explorer aufgerufen, bekommt man lokal noch eine Warnung, dass aktive Inhalte ausgeführt werden. Bestätigt der Benutzer diese Nachfrage, treibt das obige Beispiel den Nutzer in eine Serie von Popup-Dialogfeldern (im Beispiel breche ich das Ganze nach drei Popups ab).
Man könnte aber eine Endlosschleife aufsetzen, so dass der Nutzer keine Möglichkeit zum Abbruch mehr bekommt (außer, er killt den IE im Task-Manager). Im verlinkten Blog-Beitrag zeigt Caballero Code für Endlosschleifen.
Die wirkliche Gefahr
Was wie ein harmloser Streich ausschaut, hat aber einen ernsten Hintergrund. Auf einer Webseite ließe sich ein solcher JavaScript-Angriff vorbereiten. Caballero demonstriert das Ganze an Hand von Beispielen. Besucht der Benutzer eine andere Webseite (z.B. Google, Amazon, Microsoft), überlebt das JavaScript. Dort könnte es damit beginnen, dem Nutzer eine Reihe von Popups zu zeigen, um diesen zu einer Aktion zu veranlassen.
(Quelle: brokenbrowser.com)
Der obige Screenshot demonstriert das. Wenn ein solches Popup beim Aufruf diverser, seriöser Webseiten, mitwandert, kann man die meisten Benutzer davon überzeugen, dass der Browser ein Problem hat und kaputt ist. Das ließe sich von Tech Scammern ausnutzen, um dem Anwender eine Meldung anzuzeigen, dass Malware gefunden worden sei und Windows oder der IE 11 repariert werden müssen. Man möge doch bitte Telefonnummer xyz anrufen oder die Webseite abc besuchen, um geholfen zu bekommen.
Auf dieser Demo-Seite lassen sich diverse Angriffe ansehen. Bei Bleeping Computer geht man auf das Thema ein und bringt noch einige mögliche Szenarien. Wie es ausschaut, ist nur der Internet Explorer 11, nicht aber der Microsoft Edge betroffen. Einen Patch gibt es leider nicht.
Vielen lieben Dank für den Artikel!
Wird es aus Ihrer Sicht denn über kurz oder lang einen Patch geben, oder kann man dagegen gar nichts machen? Wie kann man sich schützen – außer, dass man den IE nicht nutzt? Manchmal läßt sich das nämlich nicht vermeiden, z.B. wenn man den Firefox de- und neuinstallieren möchte. Dann braucht man den IE nämlich. Google Chrome läuft bei mir leider nicht. Der verträgt sich mit anderen Programmen nicht oder stürzt dauernd ab. :-( Es wäre schon schlimm, wenn es gar keine Möglichkeit gäbe, diese Popups in seinem Browser zu unterbinden.
Hmm, rechtens & linkens müssten wohl die Antiviren-Programme Webseiten mit solchem Schadcode erkennen und blocken. Das ist ja ihres Amtes, … wenn überhaupt etwas. ;-)
Ansonsten: Muss man in nächster Zeit wohl vorsichtig sein, wenn da unten in der gelben Infozeile gefragt wird, ob man „aktive Inhalte“ zulassen will. Meist wird das Wesentliche ja auch ohne angezeigt.
Und überhaupt: wenn mir irgendwas auf ’ner Webseite spanisch vorkommt, mach ich das natürlich nur per Tastaturbefehlen zu und klicke niemals nie nicht nirgendswohin. (Aber das machst Du wohl auch so.) :-)
Für dieses Szenario hält sich das Risiko doch arg in Grenzen. Den neuen FF kann man im FF herunterladen, dann die alte Version deinstallieren. Im Anschluss die neue Version installieren. Zudem könnte man die JScript-Verarbeitung über die Sicherheitszonen im IE deaktivieren.
Besten Dank für die Infos und ganz liebe Grüße aus dem heute sehr stürmischen Ruhrgebiet! :-)
Es gibt ja nun nicht nur gugl-Chrome, slimjet und vivaldi existieren, als Beispiel. Und lassen sich beide „standalone“, also ohne Installation, ohne reg.-Einträge nutzen. Slimjet sogar als echte USB-Version.
Es sollte im Problemfall möglich sein, gezielt den entsprechenden Tab-Prozess abzuschießen, der sowas ausführt, dann ist ja auch wieder Ruhe…für Unbedarfte kann das natürlich ein Problem darstellen…
Scheint mir nicht wirklich neu, hier z.B. von 2010 für den Firefox:
http://superuser.com/questions/92617/stop-never-ending-popup-alerts-in-firefox
Aber ist das nicht works-as-designed? (bzw. Murks as designed? ;-) )
So lange es Popup-Funktionen gibt, die von Webseiteninhalten in Kombination mit Endlosschleifen aufgerufen werden können, wird es solche Probleme geben. Entsprechende Plugins können hier intervenieren. Ob es auch welche für den IE gibt habe ich aber noch nicht recherchiert, da ich diesen sowieso nur selten verwende und auch nie empfehle.
Also ich muss leider immer wieder schockiert feststellen das es für viele Anwender schwierig bzw. völlige Unkenntnis darüber herrscht einen Link in einem Neuen Tap oder gar in einem Neuen Fenster zu öffnen.
Das mehr als zwei Taps gleichzeitig geöffnet werden können bringt diverse Anwender sogar noch ins staunen ;)
Danke für den Hinweis.
Bei Sicherheitsstufe „Mittel bis hoch“ und aktiviertem „Geschützten Modus“ wird das Script nicht ausgeführt, sofern die Abfrage nicht explizit bestätigt wird.
Ich persönlich nutze den IE nur in Ausnahmefällen, davon unabhängig und gerade aus diesem Grund sind die Sicherheitseinstellungen m.E. zwingend auf eine hohe Stufe zu setzen.