Finjan's Web Security Trends Report: Widgets und Gadgets bergen Gefahren
Finjan Inc., ein führender Anbieter für Gateway-Sicherheitsprodukte, weist darauf hin, dass scheinbar harmlose Widgets und Gadgets Computer einer ganzen Reihe von Angriffen aussetzen können.
Widgets und Gadgets sind funktionale Add-ons für Web-Seiten oder die Benutzeroberflächen von PCs, beispielsweise in Form von Uhren, graphischen Effekten, Übersetzungs-Tools, Nachrichtentickern und vielem mehr. Man kann sie beispielsweise bei Google und einer Reihe weiterer Anbieter herunterladen.
Die Entdeckung der Gadget-Sicherheitslücken ist eine von vielen, die Finjans Malicious Code Research Center (MCRC) entdeckt und im Web Security Trends Report (Q3 2007) veröffentlicht hat. Der Bericht zeigt, dass die coolen Add-ons, die Webseiten mit neuen Funktionen ausstatten, verwundbaren Code enthalten, den Hacker und Kriminelle für ihre Zwecke nutzen können. Die Untersuchungen von Finjan haben außerdem gezeigt, dass die neuen Attacken eine unmittelbare Bedrohung darstellen, und dass ein neues Sicherheitsmodell erarbeitet werden sollte, um die Anwender vor den entsprechenden Angriffen zu schützen. Alle Arten von Widget-Umgebungen (Betriebssysteme, Awendungen und Web-Widgets) weisen bisher inadäquate Sicherheitsmodelle auf, die es erlauben, auch bösartige Widgets laufen zu lassen. Darüber hinaus hat Finjan bereits erhältliche Widgets gefunden, die – zum Teil in der Default-Konfiguration – verwundbar sind. Diese Ergebnisse haben bereits Microsoft und Yahoo veranlasst, Sicherheitshinweise und Patches herauszugeben und eine Überholung des Sicherheitsmodells in Angriff zu nehmen, das derzeit für online gehostete und in Betriebssysteme integrierte Widgets benutzt wird.
“In dem Maße, in dem sich Widgets in den meisten modernen Computerumgebungen durchsetzen – von Betriebssystemen bis hin zu Webportalen – steigt ihre Bedeutung, die ihre Existenz für die Sicherheit hat“, erklärt Yuval Ben-Itzhak, CTO bei Finjan. „Über die Sicherheitslücken in Widgets und Gadgets erhalten die Angreifer die Kontrolle über die Computer der Anwender. Derartige Aspekte sollten schon bei der Entwicklung berücksichtigt werden. Der neue Angriffsvektor könnte durchaus größere Auswirkungen auf die ganze Wirtschaft haben, weil er eine Vielzahl neuer Aufgaben im Bereich Sicherheit ins Spiel bringt. Organisationen benötigen heute Sicherheitslösungen, die mit derartigen neuen Bedrohungen und der sich stets ändernden Umgebung Schritt halten und ihnen die Möglichkeit geben, aktiven Code in Echtzeit zu analysieren und auch bösartige aktive Programme innovativer neuer Art zuverlässig zu erkennen und adäquat abzuwehren.“
Angesichts der Tatsache, dass beliebte Portale wie iGoogle, Live.com und Yahoo! allesamt individualisierte Portale mit Widgets anbieten, wird die wachsende Popularität der aktiven Seitenelemente dazu führen, dass die Widgets in Zukunft noch häufiger als bisher für Angriffe genutzt werden. Bis eine adäquate Sicherheitsstrategie gefunden ist, sollten sich die Anwender an folgende Maßnahmen halten:
Tipps, wie man Widget-Infektionen vermeidet
a. Nutzen Sie keine Widgets von unbekannten Anbietern. Widgets und Gadgets sollten wie vollständige Anwendungen behandelt werden.
b. Benutzen Sie interaktive Widgets nur mit Vorsicht. Widgets, die externe Informationen wie etwa RSS-Feeds, Wetterinformationen und Daten von externen Anwendungen verarbeiten, sind anfällig für Angriffe, bei denen ihnen zusammen mit den legitimen Inhalten auch bösartige untergeschoben werden.
c. Organisationen sollten strikte Regeln für die Nutzung von Widgets und Widget Engines durchsetzen. Da diese nicht als arbeitsnotwendige Applikationen einzuschätzen sind und in einigen Fällen nicht einmal als Werkzeuge, die die Produktivität verbessern, sollte der Einsatz der Widgets und Gadgets begrenzt werden. Außerdem sollten die Dateitypen von Widgets und Gadgets am Gateway geblockt werden, um den Download der Mini-Applikationen in die Firmennetze zu unterbinden.
3720 Widgets und Gadgets stehen derzeit auf google.com zum Download bereit, 3197 auf apple.com und 3959 auf Facebook.com. Viele dieser Anwendungen werden laut iGoogle schon von Millionen von Anwendern benutzt. Der Link hierzu lautet http://www.google.com/ig/directory?cat=all.
Alle der im folgenden genannten Sicherheitslücken wurden bereits geschlossen, nachdem Finjan die Hersteller diskret informiert hatte.
Windows Vista Contacts-Widget-Sicherheitslücke
Das Windows-Vista-Betriebssystem wird mit einer vorinstallierten Sidebar ausgeliefert, die als Grundelement in allen Varianten des Systems existiert. Ein paar der darin enthaltenen Widgets können direkt nach der Installation genutzt werden. Eins davon ist das Contacts-Widget, das einen einfachen Zugriff auf den in Vista enthaltenen Speicher für Kontakte erlaubt. Finjan-Mitarbeiter haben im Contacts-Widget eine Sicherheitslücke gefunden, die es einem Angreifer erlaubt, beliebigen Code auf der Maschine des Opfers laufen zu lassen. Dazu wird ein nicht standardgemäß geformtes Kontaktdetail-Objekt eingeschleust, das dabei einwandfrei funktioniert und einen komplett unverdächtigen Eindruck macht. Dieses Objekt muss nur angezeigt werden, damit der darüber eingeschleuste Code ausgeführt wird, ganz ohne weitere Aktivität des Anwenders oder Überprüfung des Codes.
Verwundbarkeit im Live.com-RSS-Reader
Live.com ist das neue und verbesserte Portal von Microsoft. Es kann durch den Anwender personalisiert werden, damit es die Überschriften aktueller Meldungen anzeigt (RSS Feed), eine kurze Zusammenfassung des Hotmail-Postfaches oder etwa den lokalen Wetterbericht. Der Live.com-RSS-Reader enthielt eine Sicherheitslücke, die es einem Angreifer erlaubte, privilegierte Informationen aus dem Konto des angegriffenen Anwenders zu lessen. Dabei übernahm das Angriffstool die Rolle des legitimen Anwenders und die Kontrolle über dessen Browser. Die Verwundbarkeit resultierte aus der Verarbeitung ungefilteter RSS-Feeds, die Skripting-Befehle enthalten konnten.
Yahoo!-Widgets Contacts-Sicherheitslücke
Yahoo! liefert eine Widget-Engine, mit der bei einer Reihe von Betriebssystemen, die dies nicht von Haus aus unterstützen, die Widget-Funktionalität nachgerüstet werden kann. Das Contacts-Widget, das in der Engine enthalten war, erlaubte ebenfalls die Ausführung beliebigen Codes durch Ausnutzung präparierter Kontaktinformationen.
Der Web Security Trends Report (Q3 2007) befasst sich außerdem mit neuen Trends im Bereich der Crimeware, die auf Finanzanwendungen spezialisiert ist. Ein Thema dabei ist ein neuer Trojaner, der mit großer Präzision Finanzinstitutionen attackiert, um Zugriff auf Anwenderkonten zu erhalten und Finanzbetrug zu ermöglichen. Darüber hinaus warnt der Bericht vor der schnellen Verbreitung von Crimeware-Toolkits als dem führenden Angriffsvektor im Web – eine Weiterführung der Vorhersagen, die bereits im vorherigen Q2 Report getroffen wurden.
Neue Entwicklungen im Bereich der finanzorientierten Crimeware
Der Finjan-Report geht auf das Überhandnehmen von Web-gestützten Angriffen ein, bei denen hoch entwickelte Trojaner, Keylogger und Rootkits gegen Finanzinstitutionen zum Einsatz kommen. “Finanzielle Gewinne sind die treibende Kraft hinter der gewaltigen Zunahme der Cyberkriminalität”, erklärte Ben-Itzhak. “Immer häufiger hat Crimeware nur noch ein einziges Ziel – Daten in Geld zu verwandeln. Crimeware wird benutzt, um gezielt wertvolle geschäftliche Informationen wie Kunden-, Finanz- oder Mitarbeiterdaten zu stehlen, die sich im aufkeimenden Cybercrime-Markt online verkaufen lassen.”
Der Report liefert eine detaillierte Analyse einer bestimmten Spielart eines Trojaners, mit dem Cyber-Kriminelle Zugang zu Bankkonten bekommen. Indem sie das “konditionierte” Vertrauen ausnutzten, das Anwender in SSL-verschlüsselte Verbindungen zu ihren Online-Finanzanbietern setzen, war die Angriffstechnik in der Lage, die Kommunikation zu kapern. Die Betrüger übernahmen die Rolle der Bank und führten einen Angriff aus, der einer Phishing-Attacke ähnelte. Im Zuge des Angriffs wurden zusätzliche Informationen über die Anwender erhoben und über einen verschlüsselten Kanal zum Angriffsserver gesandt.
Ben-Itzhak meint: “Dieser neue Stamm an sorgfältig hergestellter Crimeware ist betrügerischer und wirkt doppelzüngiger als traditionelle Phishing-Modelle. Diese neuen Angriffe werden von Standard-Sicherheitstechnik überhaupt nicht erfasst. Die Anwender merken nicht, dass sie attackiert werden, weil ihre gesamte Online-Erfahrung inklusive der Präsenz des SSL-Zertifikats vollständig mit der normalen Kommunikation mit der jeweiligen Bank übereinstimmt. Deshalb muss ein effektiver Schutz heute die Echtzeit-Analyse jedes aktiven Codes einschließen, unabhängig von seiner Herkunft, dem Kontext und seiner äußeren Erscheinungsform.”
Crimeware Toolkits entwickeln sich schnell zum führenden Angriffsvektor im Web
Der Q3 Web Security Trends Report liefert ein Follow-Up zu den Vorhersagen über die Verfügbarkeit gebrauchsfertiger Crimeware-Toolkits, die im Q2-Report getroffen wurden, den Finjan im Juni 2007 veröffentlichte. Diese Toolkits erhöhen die Effektivität von Crimeware-Attacken und die Infektionsraten, indem sie Update-Mechanismen und hoch entwickelte Anti-Forensik-Angriffstechniken bereitstellen und darüber hinaus den Zusammenschluss zu Angriffsnetzwerken unterstützen. Passend zu diesem Trend zeigt der neue Report, dass sich die Toolkits bereits bis zu einem Punkt durchgesetzt haben, der sie zur favorisierten Angriffstechnik der Cyber-Kriminellen macht.
“Wenn auch die Anwender die Bedrohungen minimieren können, indem sie beim Zugriff auf Webseiten besondere Vorsicht walten lassen, ist es doch wichtig zu wissen, dass legitime und vertrauenswürdige Sites durch Schnipsel bösartigen Programmcodes kompromitiert sein können“, sagte Yuval Ben-Itzhak. “Datenbank-gestützte Websicherheitsprodukte, die Webseiten klassifizieren, sind hier nicht von Nutzen, weil der Angriffscode immer wieder eingeschleust und beseitigt werden kann, während die Site selbst eigentlich eine Klassifizierung als legitim aufweist. Abgesehen davon ist es auf jeden Fall dringend notwendig, dass die Organisationen immer die neuesten Security-Patches und Updates einspielen, weil die Angreifer auch ältere Sicherheitslücken gern nutzen.”
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER