Warum der Internet Explorer eine Herausforderung für die IT-Sicherheit ist

Der Internet Explorer enthält Sicherheitslücken, die Angreifer nutzen können. Dieser Artikel beschreibt die häufigsten Schwachstellen und Gegenmittel.

Webbrowser wie der Microsoft Internet Explorer bieten Zugang zu einer großen Fülle an Werkzeugen für Aufgaben aller Art, von Online-Banking bis hin zu Anwendungen und Daten aus der Cloud. Internet Explorer & Co. enthalten aber zugleich Sicherheitslücken oder Mängel, die Angreifer nutzen können, um Daten zu stehlen oder ganze Unternehmenssysteme zu gefährden. Dieser Artikel beschreibt die häufigsten Mängel von Webbrowsern sowie die Wege, die Sicherheitslücken des Internet Explorers zu reduzieren.

Grundlegende Schwachstellen in Browsern

Wie werden moderne Webbrowser attackiert? Grundsätzlich gibt es drei große Angriffsvektoren: das Betriebssystem, den Browser direkt oder die Kommunikation über das Netzwerk. Betriebssysteme werden in der Regel von Malware infiziert, die den Kernel oder eine Komponente des Betriebssystems direkt modifiziert, indem sie eine bekannte Sicherheitslücke wie einen Buffer Overflow ausnutzt oder sich selbst als Hintergrundprozess des Betriebssystems einschleust.

Malware versucht über den privilegierten (oder uneingeschränkten) Modus des Prozessors einzudringen, da sie auf diese Weise den Speicher oder die Verarbeitung jeder Anwendung beeinflussen kann. Gelingt dies, kann die Malware den Browser-Speicher lesen und ändern – und damit den Browser und seine Aktivitäten beeinflussen.

Im nächsten Schritt können Malware oder direkte bösartige Attacken den Browser hacken. Die Angriffe können das Hauptprogramm des Browsers, Browser-Komponenten wie Java oder Browser-Plug-Ins wie ActiveX kompromittieren. Gelingt dies, liegen dem Angreifer die Aktivitäten und Kommunikation des Browsers offen. 

Übliche Praktiken wie das Weiterleiten der Benutzer auf bösartige Websites oder der Versand von E-Mails mit HTML-Dokumenten unterstützen diese Ansätze. Hier kann der einfache Besuch einer Website oder das Öffnen solcher Inhalte eine Malware-Installation starten.

Schließlich kann Malware die Netzwerkkommunikation des Browsers abfangen und möglicherweise verändern oder umleiten, sobald die IP-Pakete den Computer verlassen haben. Dies erfolgt meist über Tools, die den Netzwerkverkehr überwachen. Da für derartige Angriffe ein tiefer gehendes Know-how notwendig ist, sind sie eher selten anzutreffen.

Trends bei Angriffen auf den Internet Explorer

Wie wirken sich diese Angriffsarten auf die Sicherheit des Internet Explorers aus? Man möchte meinen, dass jeder „Patch Tuesday“ neue Lösungen und Bug-Fixes für Windows oder den Internet Explorer bietet. Dabei handelt es sich aber um regelmäßige Updates. Diese sind wichtig, um mit den Hackern Schritt zu halten, die Microsofts komplexe Code-Basis unterlaufen. Die Sicherheits-Patches für den Internet Explorer beziehen sich grundsätzlich auf fünf verschiedene Schwachstellen:

Distributed Denial-of-Service-Angriffe: Ein DDoS-Angriff versucht ganz allgemein gesagt, einen Computer oder einen Netzwerkknoten außer Gefecht zu setzen, so dass er für seine Benutzter nicht mehr verfügbar ist. DDoS-Attacken können extern sein und einen Netzwerkserver mit so vielen simulierten oder gefälschten Anfragen bombardieren, dass er nicht mehr auf legitime Anfragen antworten kann.

DDoS-Angriffe auf den Internet Explorer stammen meist von bösartigen Websites, die bösartigen Code ausführen. Der Schadcode nutzt die Sicherheitslücken im Code des Browsers wie zum Beispiel Pufferüberläufe, die Fehler auslösen und so den Server veranlassen, den Festplattenplatz zu füllen oder die Speicher- oder Prozessorzyklen komplett auszulasten. Da dadurch alle Ressourcen des Computers ausgeschöpft werden, wird das Arbeiten des Internet Explorers verhindert.

DDoS-Angriffe sind vielleicht das umfassendste und am weitesten verbreitete Werkzeug für Hacker des Internet Explorers - und ein großer Prozentsatz der Microsoft-Patches dient dazu, diese Vorfälle zu verhindern. Die Bug-Fixes betreffen oft mehrere Versionen des Internet Explorers. So behebt zum Beispiel das Microsoft Security Bulletin MS14-056 14 gemeldete Sicherheitslücken in den Versionen Internet Explorer 6 bis 11.

Bypass-Attacken: Ein Bypass-Angriff verfolgt das Ziel, die Sicherheitsfunktionen eines Browsers zu brechen oder zu umgehen und dem Angreifer mehr Rechte auf dem Zielsystem zu geben - sogar die gleichen Rechte wie der Benutzer. Dadurch kann der Angreifer Dateien lesen oder herunterladen und andere schädliche Aktionen auf dem System ausführen.

Bypass-Angriffe werden auf dem Internet Explorer meist von bösartigen Websites gestartet, die Code auslösen, der die Sicherheitslücke ausnutzt. Das Security-Bulletin MS14-056 enthält beispielweise einen Patch für die Versionen 6 bis 11 des Internet Explorers, der einen Bypass-Fehler behebt, der die Malware-Schutzfunktion „High Entropy Address Space Layout Randomization“ unterminiert.

Angriffe auf privilegierte Accounts: Diese Angriffe nutzen Bugs, Lücken oder schlechte Konfigurationen in Windows oder im Internet Explorer für den Zugriff auf Computer-Ressourcen, die normalerweise geschützt oder nur von privilegierten Accounts (zum Beispiel Administrator) aus zugänglich sind. Sobald ein Angriff mehr Privilegien erhält, kann die Software (und der Angreifer) unbekannte oder unerwünschte Aktionen auf dem Computer ausführen. Dazu gehören das Löschen von Dateien, der Zugriff auf geheime Informationen oder die Installation von Malware.

So enthält das Microsoft Security Bulletin MS14-051, das 25 gemeldete Sicherheitslücken für die Versionen Internet Explorer 7 bis IE 11 schließt, auch einen Bug-Fix für Lücken bei privilegierten Accounts. Ausgangspunkt für Attacken auf privilegierte Accounts sind meist bösartige Websites.

Angriffe auf Informationen: Angriffe auf Informationen sind eine Variante der Angriffe auf privilegierte Accounts. Derartige Angriffe nutzen Code von bösartigen Websites, um auf den Zielsystemen gespeicherte Daten auszuspähen. Das Microsoft Security Bulletin MS14-035 behebt beispielsweise eine Sicherheitslücke in Internet Explorer 10 und 11, durch die ein Angreifer über eine bösartige Website Dateien auf dem lokalen System lesen kann.

Attacken führen Code aus: Schließlich gibt es Angriffe auf den Internet Explorer, die bösartigen Websites erlauben, Code auf dem System (wie JavaScript) auszuführen, der den Zugriff auf Daten ermöglicht oder den Sandbox-Modus des Browsers umgeht. So erhalten die Angreifer mehr Rechte oder stärkeren Zugriff auf Daten als erwartet. Das Security-Bulletin MS14-035 behebt zum Beispiel mehrere Schwachstellen im Internet Explorer 6 bis 11, über die sich Code ausführen lässt.

Tipps: So minimieren Sie Risiken

Was können Computer-Nutzer tun, um Browser-Risiken zu minimieren? Die vielleicht wichtigste Aktion ist es, den Microsoft Patchday zu nutzen und die aktuellen Sicherheits-Patches für Betriebssystem und Browser so schnell wie möglich auf dem Rechner zu installieren. Je länger Sie mit dem Update warten, umso mehr Zeit haben Malware und bösartige Webseiten für ihr verheerendes Handeln – Zero Day-Angriffe gehören mittlerweile zur Tagesordnung.

Jeder Nutzer sollte daher das Windows Update so konfigurieren, dass die Patches automatisch heruntergeladen und installiert werden. Unternehmensumgebungen können die individuelle Installation von Patches verbieten und über die Windows Server Update Services (WSUS) oder automatisiertes Patch-Management ihre Systeme über das komplette Netzwerk zentral und rechtzeitig patchen. Sind diese regelmäßigen Updates zu aufwändig, sollten Nutzer einen alternativen Browser wie Google Chrome nutzen. Aber: Andere Browser haben auch mit Problemen zu kämpfen, worauf beispielsweise das BSI aufmerksam macht.

Weder Patches noch eine strenge Kontrolle der Konfigurationen können Benutzer davon abhalten, unachtsam HTML-Anhänge in einer E-Mail zu öffnen.

Darüber hinaus sollten Sie im Hintergrund hochwertige Anti-Malware-Tools laufen lassen. Moderne Werkzeuge scannen Dateien ständig danach, ob sie von der neuesten Malware betroffen sind. Sie nutzen Muster für eingehenden Netzwerkverkehr, um vor andere Arten von Angriffen zu warnen (Intrusion Detection). Da Anti-Malware-Software abseits vom Heuristik-Modus auf aktuellen Signatur-Dateien basiert, ist es von entscheidender Bedeutung, die Signatur-Dateien vor jedem System-Scan aktuell zu halten.

Weitere Maßnahmen für die Minimierung von Risiken sind die Deaktivierung von Java-Scripts oder nicht benötigten Plug-Ins wie ActiveX und Adobe Flash. Dies wird zwar die Interaktion mit einigen Websites verändern, verhindert aber Attacken, die auf Java und Plug-Ins basieren. Zudem ist anzuraten, nur von nicht privilegierten Accounts aus im Internet zu surfen.

Sicherheitsbedrohungen und die entsprechenden Patches explodierten in den 1990er Jahren mit der zunehmenden Verbreitung des Internets. Die Gefahren sind aber heute noch höher, weil Einzelpersonen und Unternehmen mittlerweile das Internet für unternehmenskritische Aufgaben benötigen. Die heutigen Angriffe stellen nicht nur ein Ärgernis dar, sondern können langfristig finanziellen und rechtlichen Schaden anrichten. Deshalb ist das Sicherheitsbewusstsein des Benutzers so wichtig.

Denn weder Patches noch eine strenge Kontrolle der Konfigurationen können einen Benutzer davon abhalten, unachtsam einen HTML-Anhang in einer E-Mail zu öffnen oder eine fragwürdige Website zu besuchen – jeder Nutzer hat es also durchaus in der Hand, einen Angriff zu verhindern. Daher ist der Faktor Mensch für den Standard der IT-Sicherheit mindestens genauso wichtig wie technische Vorkehrungen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close