Analyse der kritischen Firefox-Sicherheitslücke Analyse der kritischen Firefox-Sicherheitslücke - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


13.08.2015 pi/Rudolf Felser

Analyse der kritischen Firefox-Sicherheitslücke

ESET hat die Vorgehensweise der Angreifer analysiert, die den kritischen Fehler im eingebetteten PDF-Viewer des Mozilla-Firefox-Browsers ausgenutzt haben.

Die Ausnutzung der kritischen Lücke in Firefox hat sich rasend schnell verbreitet.

Die Ausnutzung der kritischen Lücke in Firefox hat sich rasend schnell verbreitet.

© welivesecurity.com

Der beliebte Browser Firefox hatte jüngst mit einer gefährlichen Sicherheitslücke zu kämpfen: Ein kritischer Fehler im eingebetteten PDF-Viewer erlaubte Angreifern das Ausführen von bösartigem JavaScript-Schadcode aus der Ferne. Zwar behebt Mozilla das Problem mittlerweile mit einem Patch, jedoch attackieren Hacker das Einfallstor weiterhin bei veralteten Firefox-Versionen.

Seit dem 6. August verteilt Mozilla ein Sicherheitsupdate für den Firefox-Browser, das die Sicherheitslücke schließt. Wie eine Auswertung der Daten des ESET-LiveGrid-Frühwarnsystems zeigt, verteilte ein ukrainischer Server bereits seit dem 27. Juli 2015 Schadcode, der genau auf diese Lücke abzielte. Gespräche mit ukrainischen Sicherheitsbehörden bestätigen dies, wie ESET in seinem Blog schreibt.

PHASE 1: ADMINS IM VISIER

Das bösartige Script kreiert einen IFRAME mit einem leeren PDF-Blob. Wenn Firefox versucht, die Datei mit dem integrierten PDF-Viewer zu öffnen, wird neuer Code in den IFRAME geladen. Im Anschluss dazu führt eine Verkettung von JavaScript-Funktionen dazu, dass das Sicherheitskonzept der "Same-Origin-Policy" ausgehebelt wird.

Die Malware läuft unauffällig im Hintergrund und kann lediglich von technisch versierten Nutzern anhand einer Fehlermeldung im Browser identifiziert werden.

Nachdem die Schwachstelle in Firefox erfolgreich ausgenutzt wurde, leitet die Schadsoftware die Exfiltrationsphase ein. Daran besonders tückisch: Der Code ist sowohl auf Windows- als auch auf Linux-Systemen lauffähig und sucht sich je nach Plattform die passenden Zieldateien zusammen. Auf Windows-Systemen fokussiert sich der Code beispielsweise auf Konfigurationsdateien populärer FTP-Programme wie FileZilla oder SmartFTP sowie Instant Messenger wie Psi+ oder Pidgin. Ziel dieser Vorgehensweise ist es, anhand dieser Daten Server-Logins und Passwörter von Systemadministratoren und Webmastern zu erbeuten.

PHASE 2: HACKER GEHEN "ALL IN"

Nach der Veröffentlichung des Patches durch Mozilla gingen die Angreifer "all in" und registrierten zwei neue Domains, während sie das Script zu ihren Gunsten weiter verbesserten. Die neuen Domains, maxcdnn[.]com (93.115.38.136) und acintcdn[.]net (185.86.77.48), suggerierten die Zugehörigkeit zu einem Content Delivery Network (CDN) und verschleierten die bösartige Absicht weiter.

Das überarbeitete Script hat es nicht mehr nur auf Login-Daten und Passwörter abgesehen, sondern zielt auf Konfigurations- und Textdateien von verschiedensten Anwendungen, darunter auch Bitcoin- und Kreditkarten-Daten. Neben Windows und Linux ist die neue Version des Scripts auch auf Mac OS X dazu in der Lage, sensible Daten abzugreifen. Während es zu Beginn noch hieß, Mac-User wären zwar theoretisch ebenfalls angreifbar, aber bislang nicht das Ziel der Kriminellen, hat Mozilla seinen entsprechenden Blog-Beitrag mittlerweile upgedatet.

TRITTBRETTFAHRER

Dadurch, dass der Firefox-Bug von Schadsoftware sehr einfach ausgenutzt werden kann, ist mit einer steigenden Anzahl von Trittbrettfahrern zu rechnen, die den Ansatz kopieren und für die eigenen kriminellen Machenschaften nutzen. So bereits geschehen auf der Porno-Website google-user-cache[.]com (108.61.205.41), allerdings mit abweichenden Zielen.

Das vorliegende Fallbeispiel zeigt, wie schnell Sicherheitslücken in populärer Software von Hackern ausgenutzt werden und sich die Vorgehensweise im Anschluss daran verbreitet. Die hohe Geschwindigkeit, mit der die Angreifer die Firefox-Lücke ausnutzten, zeigt, dass sie sehr gut mit Firefox vertraut sind. Ebenso zeigt das Beispiel, dass Exploits gerne als Einfallstor für andere Spionage-Trojaner dienen und innerhalb der Hacker-Szene rasant kopiert werden.

Firefox-Nutzer sollten ihren Browser schnellstmöglich auf die neue Version upgraden, um die Sicherheitslücke zu schließen. Als Zwischenschritt kann laut ESET der integrierte Firefox-PDF-Viewer über die Konfiguration auch deaktiviert werden – hierzu einfach den Wert pdfjs.disabled auf "true" ändern. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: