Im Rahmen der Sicherheitskonferenz Hack in the Box hat der unabhängige IT-Sicherheitsexperte Rosario Valotta demonstriert, wie er durch Ausnutzen einer Schwachstelle im Internet Explorer Cookies von beliebigen anderen Webnutzern auslesen kann. Verschiedene Medien berichteten bereits über die Präsentation, darunter heise security und die Nachrichtenagentur Reuters. Valotta nennt seinen Angriff Cookiejacking, in Anlehnung an das alle Webbrowser betreffende Phänomen Clickjacking. Der Angriff ist faktisch auch eine Abwandlung einer Clickjacking-Attacke.

Betroffen sind alle Versionen des Internet Explorers, inklusive der aktuellen Version 9, unter allen derzeit unterstützten Windows-Versionen.

Valotta hat Proof-of-Concept (PoC)-Code ins Internet gestellt, der geeignet ist, um Cookies von den Webseiten Google Mail und Facebook zu klauen. Ist der Angreifer im Besitz der Cookies, kann er sich im Namen seines Opfers bei diesen Onlinediensten anmelden. Microsoft sind derzeit keine Attacken bekannt, die auf dem PoC-Code basieren.

Angesichts der für einen erfolgreichen Angriff notwendigen Nutzeraktivität – der Anwender muss zu erst eine bösartig präparierte Webseite aufsuchen, dort verschiedene Mausklicks ausführen und gleichzeitig beim Dienst angemeldet sein, dessen Logindaten geklaut werden sollen – stuft Microsoft das Risiko durch die Schwachstelle als moderat ein. Ein hohes Risiko ginge beispielsweise von der Ausführung beliebigen Codes aus der Ferne (Remote Code Execution) aus.

Microsoft rät – unabhängig von der aktuellen Schwachstelle, aber insbesondere im Moment – allen Nutzern des Internet Explorers, sich mit erhöhter Vorsicht durchs Internet zu bewegen. Vor allem innerhalb Sozialer Netzwerke lauern oftmals Links zu vermeintlich sensationellen oder skandalösen Inhalten wie Videos oder Bildern. Die Links führen zu bösartig manipulierten Webseiten, die beispielsweise dazu dienen könnten, den Anwender die oben beschriebenen Mausklicks ausführen zu lassen.

Dieser Blogbeitrag wird um neue Informationen erweitert, sobald die Kollegen in den USA weitere Details bekannt geben.