HTML5 – Die größten Gefahren

 

Originalartikel von Robert McArdle, Senior Threat Researcher

HTML5 stellt die fünfte Revision der am meisten verbreiteten Markup-Sprache für die Erstellung von Webseiten dar. Es handelt sich dabei nicht um ein Upgrade, wie man es üblicherweise kennt, sondern um eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. Zu den wichtigsten Neuerungen gehören eine Grafikbibliothek, einfachere Unterstützung von multimedialen Inhalten, Geolocation, Drag & Drop-Funktionalität sowie Web-Benachrichtigungen. So mächtig die Neuerungen auch sind, so gefährlich können sie den Nutzern werden. Denn sie bieten nicht nur den Web-Entwicklern neue Möglichkeiten, sondern auch der kriminelle Untergrund wird sie für seine bösen Zwecke missbrauchen.

Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierte Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich JavaScript einfach verschleiern, sodass auch Netzwerk IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasiert, kommt also durch die meisten Firewalls leicht durch.

Schritte einer Browser-basierten Botnet-Attacke

Infektion: Das System eines Nutzers wird infiziert, indem er dazu verleitet wird, das ursprüngliche JavaScript auszuführen. Es gibt viele Wege, dies zu tun, einschließlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering, Kompromittieren eine Website oder andere Methoden mehr.

Persistenz: Ein Browser-basiertes Botnet ist von Natur aus nicht so beständig wie ein traditionelles. Sobald ein Opfer den Browser-Tab schließt, stoppt auch der bösartige Code. Dies muss ein Angreifer im Hinterkopf behalten, und die Aufgaben, die er einem BITB zuweist, der eher flüchtigen Natur der Botnet-Knoten anpassen. Wichtig ist dabei, dass Systeme einfach neu infiziert werden können, deshalb eignen sich persistente XSS als Angriffsvektoren besonders gut. Auch die Kombination aus Clickjacking und Tabnabbing stellen einen möglichen Ansatz dar. Clickjacking wird dazu genutzt, um ein Opfer zu zwingen, eine weitere Webseite zu öffnen, die exakt denselben Inhalt wie die ursprüngliche hat. Dabei merkt das Opfer nicht, dass der bösartige Tab im Hintergrund läuft. Um das Leben dieses Tabs zu verlängern, kann ein Angreifer die Technik des Tabnabbings nutzen. Damit maskiert er den ursprünglichen Tab und die Seite als eine häufig genutzte Seite wie Google oder YouTube. Eine sogar noch einfachere Form der Beständigkeit besteht darin, die bösartige Seite als interaktives Spiel darzustellen. Idealerweise ist das Spiel dann so aufgebaut, dass der Nutzer es den ganzen Tag über geöffnet hält und immer wieder darauf zurückgreift, um neue Aufgaben durchzuführen.

Payload: Ein solcher Angriff kann in verschiedene Möglichkeiten münden:

  • DDoS-Attacke: Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.
  • Spamming: Schlecht konfigurierte Web-Formulare auf den „Contact Us“-Seiten können zur Erzeugung von Spam genutzt werden.
  • Bitcoin-Erzeugung: Bitcoins stellen die beliebteste Währung des cyberkriminellen Untergrunds. Es gibt bereits etliche Browser-basierte Bitcoin-Generatoren.
  • Phishing: Mithilfe des Tabnabbing-Ansatzes kann ein Angreifer das Aussehen eines bösartigen Tabs jedes Mal ändern, wenn dieser nicht mehr im Fokus ist. Das heißt, jedes Mal, wenn das Opfer zu diesem Tab zurückkehrt, erhält er ein Login eines anderen Dienstes. Somit ist der Angreifer in der Lage, die Login-Daten abzugreifen.
  • Interne Netzwerkerkundung: Mit dieser Technik kann ein Angreifer nach Sicherheitslücken oder die Ports im Netzwerk eines Opfers scannen.
  • Verwendung eines Netzwerks als Proxy: Mit demselben Ansatz, den die Shell des Future-Tools verwendet, erlaubt es ein Netzwerk kompromittierter Systeme einem Angreifer, dieses als Proxy für Attacken und Netzwerkverbindungen zu nutzen, sodass deren Verfolgung schwieriger wird.
  • Verbreitung: Kriminelle können eine Wurmkomponente ins Botnet einfügen, die sich über XSS-Angriffe oder SQL Injection auf angreifbaren Sites verbreitet.

Dies stellt eine bemerkenswerte Möglichkeit im Arsenal von Angreifern dar und wird sicherlich bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware können diese neuen Angriffsvektoren nicht abwehren, doch gibt es zwei kostenlose Tools, die einen sehr guten Schutz bieten.

NoScript: Das Browser Plugin ist unter Fachleuten bereits gut bekannt. NoScript schränkt die Funktionsweise von JavaScript und anderen Plungins auf nicht vertrauenswürdigen Seiten ein.

BrowserGuard: Trend Micros eigenes Tool umfasst eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

 

 

 

Ein Gedanke zu „HTML5 – Die größten Gefahren

  1. Pingback: HTML5 mit zahlreichen Neuerungen: TREND MICRO warnt vor Missbrauch für Botnetze - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*