Browser-Angriffe werden immer raffinierter

Web-Angriffe verlagern sich vom Ausnutzen von Sicherheitslücken in Windows zur Nutzung von Schwachstellen im Browser sowie in dessen Plug-ins. Adobes Flash- und PDF-Betrachter sind unter den häufigsten Zielscheiben. Ein Sicherheitsforscher zeigt, wie es Angreifern künftig auch ohne Lücken in Browser-Erweiterungen gelingen kann schädliche Programme einzuschleusen.

Robert "RSnake" Hansen demonstriert auf der Website ha.ckers.org, wie man mit Hilfe von Javascript einen Download der Firefox-Erweiterung "Noscript" vortäuschen kann, dabei dem Opfer jedoch ein anderes Programm unterschiebt. Dazu zeigt die Demo-Seite zunächst einen Download-Button für Noscript an, der die entsprechende Seite auf der Mozilla-Website aufruft - mit SSL-Zertifikat und allem, was dazu gehört.

Eine Javascript-Funktion ersetzt dann diese URL nach zwei Sekunden durch die des einzuschleusenden Programms. Hansen benutzt in seiner Demonstration das umbenannte Noscript-Add-on - ein realer Angreifer würde versuchen seinem Opfer zum Beispiel einen Key-Logger unterzuschieben. Er würde wohl auch eine Website mit einer dem Original sehr ähnlichen URL verwenden, damit der Trick nicht auffällt.

Dann könnte der Angegriffene leicht übersehen, dass der Download nicht von "addons.mozilla.org" sondern von einer gefälschten Website wie "addons.mozilla.org.evil.com" erfolgen soll - und ihn brav erlauben. Der Trick funktioniert ganz ähnlich auch mit dem Internet Explorer. Das wäre jedoch für Hansens Demo weniger instruktiv, da der IE noch weniger Anzeichen für einen Angriff bietet.

Ein realer Angreifer würde potenziellen Opfern zum Beispiel ein vorgeblich erforderliches Multimedia-Plug-in zum Anzeigen eines Videos zum Download aufnötigen. Diese Masche benutzen Online-Kriminelle bereits seit Jahren - offenbar nach wie vor mit Erfolg. Firefox-Nutzer schützen sich am besten mit der Noscript-Erweiterung. (PC Welt/mje)