Eine Universal XSS Schwachstelle, wie sie
im Internet Explorer
gefunden wurde, ist für Angreifer natürlich das beste, was ihnen passieren
kann. Denn darüber können sie jede Webseite über XSS angreifen, unabhängig
davon ob es dort eine XSS-Schwachstelle gibt oder nicht.
Zum Glück sind solche Schwachstellen selten und die Cyberkriminellen daher
auf herkömmliche XSS-Schwachstellen angewiesen. Der Klassiker sind dabei
das in der vorherigen Folge vorgestellte
reflektierte XSS
und das auch als JavaScript-Injection bezeichnete persistente XSS, um das
es im folgenden geht.
The Intercept hat auf Grundlage der von Edward Snwoden geleakten Dokumente
berichtet,
dass NSA und GCHQ schon seit 2010 im großen Stil die Schlüssel
von Krypto-Chips des Herstellers Gemalto ausgespäht haben. Was einmal
mehr beweist, dass bei den Snwoden-Leaks die Regel "Schlimmer geht
immer! gilt.
Alle bisher bekannten Informationen über den Angriff und welche Folgen
diese Kompromittierung von SIM-Karten und mehr haben kann, habe ich
für Jaxenter.de zusammengefasst:
"Der SIM-Karten-Hack von NSA und GCHQ".
Lenovo hat auf Consumer-Notebooks eine Adware namens SuperFish installiert.
Und die hat es in sich, bringt sie doch ein MitM-Zertifikat für
HTTPS-Verbindungen mit und gefährdet damit alle HTTPS-Verbindungen der
betroffenen Rechner.
Nachdem es in der vorherigen Folge um die
Universal XSS Schwachstelle im IE
ging möchte ich ab dieser Folge ein paar mögliche Angriffe
über Cross-Site Scripting vorstellen. Bevor es zu den eigentlichen
Angriffen kommt sollen aber erst einmal die verschiedenen Arten von
XSS-Angriffen vorgestellt werden. Denn je nachdem, wie der Schadcode
eingeschleust wird, sind unterschiedliche Angriffe möglich.
Es gibt neue Angriffe und Schwachstellen mit mehr oder weniger schönen
Namen: Die "Equation Group", den Schädling Carbanak, und den JASBUG.
Mit dem sich seine Entdecker gerne ein Denkmal setzen würden.
Die "Equation Group" - Cyberkrieger im Auftrag der USA?
David Leo hat im Internet Explorer 11 eine Universal
Cross-Site Scripting (UXSS) Schwachstelle
entdeckt.
Die erlaubt ganz allgemein XSS-Angriffe auf Websites, die selbst gar keine
XSS-Schwachstelle enthalten und dadurch zum Beispiel überzeugende
Phishing-Angriffe oder das Ausspähen von Session-Cookies.
Kurze Zeit später stellte sich heraus, dass auch der IE 10 und der IE 11
im "Spartan"-Modus (und damit
auch
Microsofts neuer Browser "Spartan" unter Windows 10)
von der Schwachstelle betroffen sind.
Im IE 9
funktioniert
der PoC, wenn der Document Mode von "Quirks" auf "IE9 Standard"
umgeschaltet wird. Ob das auch automatisch über eine entsprechenden
Doctype-Angabe möglich ist, ist noch nicht bekannt.
Im
Entwickler Magazin 2.15
ist ein Artikel über die "prominenten" Schwachstellen
und Angriffe des Jahres 2014 erschienen. Also die, die mit Namen versehen
wurden, was ja zuvor ziemlich selten passierte, 2014 aber fast
üblich
wurde. Außerdem gab es so viele Schwachstellen und Angriffe, dass es
teilweise schien, als stünde das Internet in Flammen. Tat es aber
nicht. Zum Glück!
Im
Entwickler Magazin 2.15
ist ein Artikel über die Sicherheit der
Machine-to-Machine-Kommunikation erschienen. Untersucht werden die
Schutzmaßnahmen der beiden Protokolle MQTT und CoAP.
Auch am Februar-Patchday hat Microsoft wieder einige 0-Day-Schwachstellen
behoben. Für eine davon gibt es sogar einen 0-Day-Exploit. Zum Glück
werden davon aber nur Schutzmaßnahmen umgangen und kein Code ausgeführt.
Obwohl auch das schon schlimm genug ist, immerhin wird damit ja das
Ausführen von Code über eine andere Schwachstelle erst möglich.
Ein Konfigurationsfehler in MongoDB führt dazu, dass tausende Datenbanken
frei aus dem Internet zugänglich sind. Ursache ist ein kleiner
Fehler, der zu einem großen Problem führt. Wer Schuld daran ist
untersuche ich nebenann.