News
06.01.2010, 08:00 Uhr
Browser-Attacken werden trickreicher
Ein Security-Forscher demonstriert, wie es Angreifern künftig auch ohne Lücken in Browser-Erweiterungen gelingen kann, Schad-Software einzuschleusen.
Webangriffe verlagern sich vom Missbrauchen von Sicherheitslücken in Windows zur Nutzung von Schwachstellen im Browser sowie in dessen Plug-Ins. Adobes Flash- und PDF-Betrachter sind unter den häufigsten Zielscheiben.
Robert «RSnake» Hansen demonstriert auf der Website ha.ckers.org, wie man mittels JavaScript einen Download der Firefox-Erweiterung «Noscript» vortäuschen kann, dabei dem Opfer jedoch ein anderes Programm unterschiebt. Dazu zeigt die Demo-Seite zunächst einen Download-Button für Noscript an, der die entsprechende Seite auf der Mozilla-Website aufruft – mit SSL-Zertifikat und allem, was dazugehört.
Eine JavaScript-Funktion ersetzt dann diese URL nach zwei Sekunden durch die des einzuschleusenden Programms. Hansen benutzt in seiner Demonstration das umbenannte Noscript-Add-On. Ein realer Angreifer würde versuchen, seinem Opfer beispielsweise einen Key-Logger unterzujubeln. Er würde wohl auch eine Website mit einer dem Original sehr ähnlichen URL verwenden, damit der Trick nicht auffällt.
Dann könnte der betroffene User leicht übersehen, dass der Download nicht von «addons.mozilla.org», sondern von einer gefälschten Website wie «addons.mozilla.org.evil.com» erfolgen soll – und ihn brav erlauben. Der Trick funktioniert ganz ähnlich auch mit dem Internet Explorer.
Ein realer Angreifer würde potenziellen Opfern etwa ein vorgeblich erforderliches Multimedia-Plug-In zum Anzeigen eines Videos zum Download aufdrängen. Diese Masche benutzen Onlinekriminelle bereits seit Jahren.
Robert «RSnake» Hansen demonstriert auf der Website ha.ckers.org, wie man mittels JavaScript einen Download der Firefox-Erweiterung «Noscript» vortäuschen kann, dabei dem Opfer jedoch ein anderes Programm unterschiebt. Dazu zeigt die Demo-Seite zunächst einen Download-Button für Noscript an, der die entsprechende Seite auf der Mozilla-Website aufruft – mit SSL-Zertifikat und allem, was dazugehört.
Eine JavaScript-Funktion ersetzt dann diese URL nach zwei Sekunden durch die des einzuschleusenden Programms. Hansen benutzt in seiner Demonstration das umbenannte Noscript-Add-On. Ein realer Angreifer würde versuchen, seinem Opfer beispielsweise einen Key-Logger unterzujubeln. Er würde wohl auch eine Website mit einer dem Original sehr ähnlichen URL verwenden, damit der Trick nicht auffällt.
Dann könnte der betroffene User leicht übersehen, dass der Download nicht von «addons.mozilla.org», sondern von einer gefälschten Website wie «addons.mozilla.org.evil.com» erfolgen soll – und ihn brav erlauben. Der Trick funktioniert ganz ähnlich auch mit dem Internet Explorer.
Ein realer Angreifer würde potenziellen Opfern etwa ein vorgeblich erforderliches Multimedia-Plug-In zum Anzeigen eines Videos zum Download aufdrängen. Diese Masche benutzen Onlinekriminelle bereits seit Jahren.
Kommentare
Es sind keine Kommentare vorhanden.