Mittwoch, 31. August 2011


Topthema

Donnerstag, 3. Januar 2008 | Topthema

About Security #137: XSS-Angriffe (7): Weitere Ziele

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/040328)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Eine das lokale Netz sch�tzende Firewall l��t sich durch ein �hnliches Vorgehen wie beim in About Security #136 beschriebenen Aussp�hen der in einem DSL-Router gespeicherten Internetzugangsdaten manipulieren. Ein entsprechender CSRF-Angriff wurde bereits in About Security #127 beschrieben. Der Angreifer kann sich (wie in About Security #136 beschrieben) die Informationen �ber die Firewall zuschicken lassen und danach den CSRF-Angriff in deren Logfiles einschleusen. Der Rest l�uft dann wieder wie in About Security #127 und #136 beschrieben ab. Voraussetzung ist nat�rlich wieder, dass die webbasierte Administrationsoberfl�che der Firewall f�r XSS und CSRF anf�llig ist. Bei eigenst�ndigen Firewall-Appliances sind solche Schwachstellen selten, Security-Appliances, egal f�r welchen Zweck, nutzen in der Regel geh�rtete Betriebssysteme und sorgf�ltig ausgew�hlte und konfigurierte Software. Anders sieht es dagegen bei den in SOHO-Routern integrierten Firewall-Funktionen aus: Ist der Router von entsprechenden Schwachstellen betroffen, ist im Allgemeinen auch die �ber die gleiche Oberfl�che konfigurierte Firewall manipulierbar.

Weitere Ziele

Weitere lohnende Ziele in lokalen Netzen sind z.B. lokale Webanwendungen, Datenbanken, zentral gespeicherte Konstruktions- oder Planungsunterlagen � kurz: Alles, von dem man nicht m�chte, dass Konkurrenten oder b�swillige Dritte es bekommen. Gezielte Trojaner-Angriffe im Rahmen von Wirtschaftsspionage sind inzwischen weit verbreitet. Bisher wurden daf�r �ber Schwachstellen im Betriebssystem oder in Anwendungsprogrammen eingeschleuste Trojaner verwendet, aber es spricht nichts dagegen, den Webbrowser als Ausgangspunkt f�r weitergehende Angriffe zu �bernehmen. Zwar werden in Intranets oft speziell entwickelte Webanwendungen eingesetzt, sodass ein Angreifer keine bereits bekannten Schwachstellen darin ausnutzen kann. Allerdings laufen diese Webanwendungen auf Standardsystemen.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Statt eine Schwachstelle in der Webanwendung kann der Angreifer also eine Schwachstelle im verwendeten Web- oder Application-Server auszunutzen versuchen. Oder er sucht aus dem Browser heraus in der Webanwendung nach Schwachstellen. Dass so etwas m�glich ist, wurde von SPI Dynamics mit der Vorstellung von Jikto bewiesen: Jikto ist ein Schwachstellen-Scanner in JavaScript, der beliebige Webseiten nach Schwachstellen durchsuchen kann. Die Same Origin Policy wird durch die Nutzung von Google Translate umgangen. Das Programm war eigentlich nur f�r Demozwecke gedacht, gelangte aber in die "freie Wildbahn" und ist leicht �ber eine Suchmaschine wie z.B. Google zu finden. Das Programm ist ziemlich klein, es umfasst ca. 875 Zeilen kommentierten Code. Ein Angreifer, der gezielt bestimmte Schwachstellen finden und im Anschluss ausnutzen m�chte, kommt sicher mit deutlich weniger Code aus.

Fernsteuerung

Einen Schritt weiter geht das Browser Exploitation Framework BeEF. Das l�uft auf einem Server, mit dem sich die �ber XSS �bernommenen Clients verbinden. Danach k�nnen vom Server aus verschiedene Aktionen auf dem Client gestartet werden. Deren Spannweite reicht vom Auslesen des Clipboards, einem JavaScript Portscan oder der Installation eines Keyloggers bis zur Ausnutzung von Browserschwachstellen zum �ffnen einer Shell.

Ausnutzen von Browserschwachstellen

Wer die Kontrolle �ber den Browser hat, ist nur einen Schritt von der Kontrolle �ber das System entfernt - er muss nur eine Schwachstelle im Browser oder dessen Komponenten finden und ausnutzen. Dazu ein paar Zahlen aus dem Symantec Internet Security Threat Report (1. Jahresh�lfte 2007) (PDF):

About Security: Die komplette Serie
  • 39 Schwachstellen im Microsoft Internet Explorer, 34 in Mozilla-Browsern, 25 in Apple Safari und 7 in Opera.
  • 237 Schwachstellen in Browser-Plug-ins (im 2. Halbjahr 2006: 74)
    89 % davon betreffen ActiveX-Komponenten (im 2. Halbjahr 2006: 58 %).
  • Mehr als 50 % der durch die Betriebssystemanbieter geschlossenen Schwachstellen mit hoher Gefahrenstufe betrafen Webbrowser

Ein Angreifer hat also meist etliche Schwachstellen zur Auswahl, um �ber den Webbrowser die Kontrolle �ber den angegriffenen Rechner zu �bernehmen. Und statt sein Opfer auf eine eigene pr�parierte Webseite zu locken, kann er den Schadcode auch �ber eine XSS-Schwachstelle in vertrauensw�rdige Webseiten einschleusen. Im Falle von persistenten XSS-Schwachstellen muss der Benutzer dann nicht mal einen pr�parierten Link anklicken, um seinen Rechner zu infizieren � der Besuch der entsprechenden Seite reicht aus.

Fazit

Die vorgestellten Beispiele steigerten sich in mehreren Stufen:

  • Ein Angreifer, der JavaScript ausf�hren kann, hat die Kontrolle �ber den Browser
  • Wer die Kontrolle �ber den Browser hat, befindet sich im lokalen Netz � und damit hinter der Firewall
  • Wer die Kontrolle �ber den Browser hat, kann die Kontrolle �ber das System erlangen

Man sollte XSS also nicht untersch�tzen: Auch wenn diese Schwachstellen zurzeit meist f�r Phishing genutzt werden, besitzen sie ein gro�es Potenzial f�r weitergehende Angriffe.

Ab der n�chsten Folge geht es nur noch indirekt um XSS: Das Thema sind dann Webw�rmer, die unter anderem XSS-Schwachstellen f�r ihre Verbreitung nutzen.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Sichere Webanwendungen � Cross-Site Scripting"

Kommentare

Folgende Links könnten Sie auch interessieren