Schlagwort-Archive: JavaScript

Neue Zero-Day-Lücke im Internet Explorer ermöglicht Angriffe

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Microsoft hat kürzlich ein Security Advisory zu einer Sicherheitslücke im Internet Explorer veröffentlicht. Diese Schwachstelle, die die ferngesteuerte Codeausführung ermöglicht, betrifft den Internet Explorer 6, 7 und 8 und wird durch eine nicht valide Flag-Referenz im Browser verursacht. Sie wurde ursprünglich auf einer einzigen Website gefunden, die mittlerweile vom Netz genommen ist.

Die Trend Micro-Researcher haben ein Sample des Exploits für besagte Sicherheitslücke analysiert und die Hauptseite, die für die Lieferung des Exploits zuständig ist, als HTML_BADEY.A identifiziert. Diese Seite lädt einen Backdoor (BKDR_BADEY.A) herunter, der wiederum verschiedene verschlüsselte Dateien herunterlädt. Die Dateien enthalten Befehle, die der Backdoor ausführt.

Alles deutet darauf hin, dass weitere Angriffe folgen werden. Die Trend Micro-Experten haben ein neues Hacking-Werkzeug (HKTL_ELECOM) entdeckt, mit dessen Hilfe Cyberkriminelle Seiten generieren können, die den JavaScript-Code enthalten, der die Sicherheitslücke ausnützt. Weil damit Angriffe einfacher werden, gehen die Experten davon aus, dass diese Attacken sich weiter verbreiten.

Noch ist ungewiss, wann Microsoft die Schwachstelle schließt, doch können sich Anwender selbst vor den Angriffen schützen. Die Beta-Version des Internet Explorer 9 ist von der Lücke nicht betroffen, so dass es ratsam ist, die eigenen Browser auf diese Version zu aktualisieren. Weitere Schritte, um sich vor der Gefahr zu schützen, beschreibt das Advisory, doch die meisten dieser Maßnahmen (wenn nicht alle) führen dazu, dass Websites nicht korrekt geladen werden.

Die von Microsoft empfohlenen Schritte zwingen zum Einsatz eines User-spezifischen CSS Style Sheet, das die Formatierung der Site stört. Außerdem müssen sie Scripting deaktivieren – und damit viele Webseitenfunktionen. Anwender können auch prüfen, ob Data Execution Prevention (DEP) aktiv ist, denn dadurch wird das Schadenpotenzial jedes Exploits reduziert. Auch dies beschreibt das Advisory.

Trend Micro-Anwender sind , über das Smart Protection Network gegen diese Gefahr geschützt. Zudem können Nutzer das kostenlose Addon Browser Guard für den Internet Explorer herunterladen. Dieses Tool schützt gegen IE-Schwachstellen.

Das Einfügen von Scripts in Tweets ermöglicht Angriffe

Originalartikel von Robert McArdle (Senior Threat Researcher bei Trend Micro)

Twitter kämpft derzeit mit einigen Problemen bezüglich Cross Site Scripting (XSS) und dem Missbrauch der Funktion OnMouseOver sowie MouseOver in der Skriptsprache JavaScript.

Es gibt eine Lücke in Twitter, die das Einfügen von JavaScript-Code in einen Tweet ermöglicht. Dies funktioniert folgendermaßen: Setzt ein Nutzer eine URL in seinen Tweet, erkennt Twitter dies und, sobald der Tweet über einen Browser angezeigt wird, verpackt der Dienst die dort enthaltene URL, wie folgt:

<a href=”YOUR_LINK” class=”tweet-url” rel=”nofollow” target=”_blank”>YOUR_LINK</a>

Das Problem dabei ist jedoch, dass der Dienst die URL vorher nicht “säubert”. Vor allem prüft er nicht, ob Anführungszeichen vorhanden sind, über die ein Nutzer etwa folgenden Link publizieren kann:

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Twitter erkennt die Zeile als URL und packt sie in einen Link. Doch das Ausrufezeichen darin bewirkt, dass das onmouseover-Bit in die Link-Markierung () als Attribut eingefügt wird.

<a href=”http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//” class=”tweet-url web” rel=”nofollow” target=”_blank”>http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//</a>

OnMouseOver löst im Internetbrowser schon dann eine Aktion aus, wenn ein Nutzer die Maus lediglich über den Link führt – und ermöglicht damit einen Angriff. Twitter-Nutzer können nämlich über diese Schwachstelle einfach JavaScript-Code in ihre Tweets einfügen. In diesem harmlosen Beispiel würde ein Fenster aufgehen, das den Satz “Sanitize your Input!” anzeigt. Natürlich lässt sich das auch für gefährliche Angriffe tun. Folgende URL würde bewirken, dass ein Nutzer eine Nachricht verschickt, sobald er die Maus über den gefährlichen Link geführt hat:

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Trend Micro rät Twitter-Nutzern dringend, eine der Empfehlungen zu beherzigen:

  • Für Twitter eine Anwendung eines Drittanbieters zu nutzen, denn die Lücke bezieht sich lediglich auf Browser,
  • Will ein Nutzer dennoch seinen Browser weiter nutzen, so sollte die NoScript-Erweiterung für Firefox installiert werden, um die Ausführung von JavaScripts zu verhindern.

Twitter berichtet, die Sicherheitslücke sei gerade geschlossen worden.

Die Angriffe über mehrteilige bösartige JavaScripts nehmen zu

Originalartikel von Ryan Flores (Advanced Threats Researcher bei Trend Micro)

Der neuste Fund der TrendLabs führt wieder vor Augen, wie komplex und umfangreich die Arbeit der Sicherheitsforscher ist: In den letzten Tagen haben die Trend Micro-Experten einige Webinfektionen festgestellt, die dadurch auffielen, dass mehrteilige bösartige JavaScript-Techniken an den Angriffen beteiligt waren. In der Vergangenheit war bösartiger JavaScript-Code in einzelnen .JS- oder .HTML-Dateien enthalten, was dessen Entdeckung und Analyse relativ einfach gestaltete. Mit der neuen Technik lässt sich der JavaScript-Code in mehrere Teile aufspalten, um verschiedene Dateien daraus zu machen.

Folgendes Beispiel zeigt, dass die .HTML-Datei mit ap.js verlinkt ist, während das eingebettete JavaScript die Funktion ac2() aufruft.

Die Funktion ac2() jedoch ist nicht im JavaScript enthalten, dass in der aktuellen HTML-Datei eingebettet ist, sondern ist mit der JS-Datei (siehe Bild unten) verlinkt:

Diese Technik ist deshalb bemerkenswert, weil der bösartige JavaScript-Code in mehrere Komponenten aufgeteilt werden kann, wobei jede einzelne an sich nicht bösartig ist. Die wahre Natur des Codes zeigt sich erst, wenn die einzelnen Teile korrekt zusammen gefügt werden. Es genügt also nicht mehr, die HTML- und JS-Dateien einzeln zu analysieren, sondern Sicherheitsforscher müssen ihre Analyse im Kontext der Website durchführen, auf der die HTML- und JS-Dateien benutzt wurden.

Die Technik der mehrteiligen JavaScripts ist nicht brandneu. Trend Micro Forscher sie bereits im Zusammenhang mit bösartigen Website, die an Angriffen auf die OCW ActiveX-Schwachstelle beteiligt waren, darauf gestoßen. Mittlerweile steigt die Beliebtheit dieser mehrteiligen JavaScript-Technik, wie die beiden infizierten Websites zeigen. Anscheinend haben die Bad Guys das Potenzial dieser Technik erkannt, denn sie erschwert das Aufdecken und die Analyse der Angriffe.

Das Trend Micro Smart Protection Network identifiziert die bösartigen JavaScripts als Expl_ShellCodeSM und blockiert die betroffenen URLs.