security, brute-force
security, brute-force
Bildquelle: pixelcreatures

Brute Force: Sicherheitslücke in (fast) allen Browsern entdeckt

Eine von Matthias Ungethüm (Unnex) entdeckte Sicherheitslücke in fast allen gängigen Browsern erlaubt es, per Brute-Force-Angriff FTP-Server zu hacken.

Der Penetrationstester Matthias Ungethuem (Unnex) hat bereits im Januar 2013 eine bisher unbekannte Sicherheitslücke in fast allen gängigen Browsern entdeckt. Diese erlaubt es Cyberkriminellen, per Brute-Force-Angriff FTP-Server zu hacken. Die Lücke im Safari, Internet Explorer, Opera und Google Chrome ist derzeit noch immer offen.

Uralter Bug

Die Lücke ist schon uralt. Unnex hat sie bereits Anfang 2013 ausführlich auf der Webseite seiner Hacker-Gruppe NN-Fraktion beschrieben. Heute früh berichtete der MDR exklusiv darüber.

Im ersten Schritt muss es dem Hacker gelingen, auf einer bekannten und viel besuchten Webseite JavaScript einzubinden. Das hört sich zunächst kompliziert an, mithilfe von vorhandenen Cross-Site-Scripting-Lücken (kurz: XSS) gelang dies aber schon auf zahlreichen populären Webseiten. Grundsätzlich gilt dabei: Umso häufiger die mit dem eigenen Programm infizierte Webseite besucht wird, umso besser. Das Javascript wird im Image Tag, also der Zusatzinformation eines Bildes eingebunden.

Wenn im zweiten Schritt nach dem Einfügen des JavasSripts die Webseite besucht wird, versucht sich über das eingeschleuste Zusatzprogramm der Hacker mit verschiedenen Kombinationen von Namen und Passwörtern auf einem FTP-Server seiner Wahl einzuloggen. Die Identität des Hackers bleibt dabei verborgen, weil beim Einbruchsversuch per Brute-Force die Internet-Adresse des Webseiten-Besuchers und nicht des Cyberkriminellen angegeben wird. Der Täter bleibt also im Verborgenen. Auch die Betreiber oder Besucher der Webseite bemerken nicht, dass man etwas geändert hat. Die Webseite sieht aus wie eh und je.

Nur die User vom Firefox sicher

Brute-Force-Angriffe werden zur Erlangung von Passwörtern durchgeführt, indem eine Software in schneller Abfolge nacheinander verschiedene Zeichenkombinationen ausprobiert. Der Algorithmus ist sehr einfach und beschränkt sich auf das Ausprobieren möglichst vieler Zeichenkombinationen. Viele Browser reagieren nicht, sollte man die Login-Details eines FTP-Zugangs in einem Image Tag einbinden. Normalerweise müsste sich dabei ein Fenster öffnen um dem Nutzer mitzuteilen, dass seine Zugangsdaten nicht korrekt sind. Beim Internet Explorer, Google Chrome, Safari und Opera besteht allerdings die Lücke, dass die Browser dabei eben kein Fenster öffnen. Sicher sind momentan nur die Nutzer von einem Mozilla Firefox.

Sollte beim massenhaften Versuch einen FTP-Server zu hacken ein Passwort funktionieren, wird dieses dem Hacker von seinem JavaScript Code sofort zugeschickt. Problematisch ist das Verfahren für alle Unbeteiligten. Die Besucher der infizierten Webseite werden zu Hackern ohne es zu ahnen. Außerdem wird bei allen Hackversuchen ihre IP-Adresse übertragen. Sollte es wegen des Verstoßes gegen den Hackerparagrafen zu strafrechtlichen Verfolgungen kommen, wären sie in erster Linie betroffen und nicht die Cyberkriminellen.

owned-ie-chrome-safari-opera

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.