Forscher bei Kaspersky Lab warnen LinkedIn vor möglichen Spear-Phishing-Attacken

Am 14. November 2014 meldeten Forscher bei Kaspersky Lab dem weltweit größten business-orientierten sozialen Netzwerk, LinkedIn, ein Sicherheitsproblem, das für seine 360+ Millionen Nutzer zu einer kapitalen Bedrohung hätte werden können. Da LinkedIn so viele Leute aus der Geschäftswelt anzieht, hätte diese Sicherheitslücke es Angreifern ermöglichen können, effizient signierte und vertrauenswürdig wirkende Spear-Phishing-Kampagnen durchzuführen, Anmeldedaten zu stehlen und möglicherweise ausgesuchte Opfer aus der Ferne zu kontrollieren, ohne auch nur einmal Social Engineering eingesetzt zu haben.

LinkedIn machte sich umgehend daran, die Bedrohung zu beseitigen und hat mittlerweile ein Fix veröffentlicht, mit dem die Sicherheitslücke geschlossen wurde.

“Indessen sollte gewisser HTML-Content eingeschränkt sein und wir haben ein Fix veröffentlicht und den Kaspersky-Experten unseren Dank ausgesprochen; die Wahrscheinlichkeit der Ausnutzung auf gängigen modernen E-Mail-Plattformen ist äußerst gering”, sagt David Cintz, Senior Technical Program Manager beim LinkedIn Security Ecosystem.

Forscher stießen auf die Sicherheitslücke, nachdem sie in vielen Postings Unterschiede in den Fluchtsymbolen beim Posten von verschiedenen Geräten aus festgestellt hatten. Die zweite Sache, die ihre Aufmerksamkeit erregte, war eine Fehlfunktion in dem Backend-Parser der Plattform, der einfach einen CRLF (Betätigung der Enter-Taste) in einen HTML-Tag <br /> interpretiert, indem er ihn als Text auf das Posting anwendet. Beides hatte nichts miteinander zu tun, aber beides warf Fragen auf, die nach Antworten verlangten.

Auch wenn es nach keiner großen Sache klingt, kann ein kleiner Defekt wie dieser die Aufmerksamkeit von Angreifern erregen. In Hinblick auf diese zwei Fehlfunktionen waren die Forscher davon überzeugt, dass irgendetwas faul sein musste. Es scheint, als hätte es niemand bemerkt. Nur das geübte Auge konnte sehen, wie die Puzzleteile zusammengehören.

Betätigung der ENTER-Taste als Klartext <br /> Element interpretiert

Das Absenden zahlreicher Posts von einem Webbrowser hat erfolgreich einen Teil des Verhaltens dieser Unterschiede in den Fluchtsymbolen imitiert, aber es ergab keinen Hinweis darauf, wie die Anti-Cross-Site-Scripting(XSS)-Engine umgangen und ein Angriff erzeugt werden kann.

Weitere Untersuchungen brachten neue Erkenntnisse. Es gab einen Grund dafür, warum die Ausgabe von einem Gerät nicht so kodiert wurden wie von einem anderen.

Das Absenden von Kommentaren mit HTML-Tags von der Webplattform erzeugte %3C als kleiner-als-Zeichen, während dieselbe Eingabe von einem mobilen Gerät zu &lt; codiert wurde. Weitere Untersuchungen führten uns zu zwei unterschiedlichen Plattformen. Doch das bedeutete nicht, dass die Webplattform angreifbar war. Oder doch?

Ebenfalls äußerst aufschlussreich war die Erkenntnis, dass jeder Kommentar zu einem Posting über eine E-Mail-Plattform zu allen anderen Nutzern geschickt wird, die Teil der Bedrohung waren. Die Unterschiede im Körper der E-Mail bestätigten unsere Befürchtungen. Die folgenden Screenshots illustrieren die beiden Szenarien:

Von der Website geposteter Kommentar, der ordnungsgemäß escapt wurde

Von der mobilen App geposteter Kommentar ohne Escape

Dadurch war der Beweis erbracht, dass es zwei verschiedene E-Mail-Plattformen gibt, und dass mobile Benachrichtigungen dabei helfen können, schädliche Payload ohne benutzerseitig bereitgestellte Input-Validierung in Umlauf zu bringen.

Signierte E-Mail, die von LinkedIn ungeachtet ihres Inhalts zurückgegeben wird

Soziale Plattformen sind ein wichtiges Ziel für Hacker. Unternehmen im Allgemeinen werden täglich von „White Hat“-Hackern kompromittiert, die versuchen sich ein Stück vom Kuchen zu sichern, wenn es um den Schutz und die Sicherheit des Internets geht. Doch was ist, wenn ein „Black Hat“-Hacker auf das Problem stößt?

Ein Blick auf die folgende Grafik zeigt, wie diese Art von Sicherheitsproblemen einem Angreifer dabei helfen kann, die Frage nach der Verbreitung von Schadsoftware zu beantworten, die als legitime Benachrichtigung eines sozialen Netzwerkes getarnt ist.

Generischer Malware-Verbreitungszyklus

Malware-Autoren investieren eine Menge Zeit in jeden dieser Meilensteine. Jeder Schritt hat große Auswirkungen auf das Gesamtergebnis: Solide Programmierung, die auf zahlreiche Systeme/Geräte, Packer und Binder, Obfuskation und Verschlüsselung anwendbar ist, die Aufklärung mit der richtigen Verbreitungsmethode kombiniert und das richtige Zero-Day-Exploit oder Exploit findet, um das System aus der Ferne zu kontrollieren.

Um wertvolle Zeit zu sparen, finden Angreifer Wege und Mittel, um mit den Autoren in Kontakt zu treten und ihren Bedarf an jedem Meilenstein zu decken, als wären sie Waren in einem Regal. Arbeitet man die gesamte Einkaufsliste ab, um sich diese Angriffsart zusammenbrauen zu können, könnte das recht teuer werden. Eine Business-orientierte soziale Plattform, die Informationen über Millionen von Geschäftsleuten, männlich wie weiblich, ihre Titel, ihre Kollegen, Daten zu ihren Karrieren und vieles mehr enthält, kann überaus wertvoll sein. Einen Nutzer anzugreifen, ist nicht besonders schwierig, und die Ausnutzung dieser Informationen ist nur einen Kommentar entfernt.

Wähle Dein Opfer

Das Einschleusen eines schädlichen Kommentars in den Postthread eines Nutzers zieht automatisch das Versenden einer Benachrichtigung an seinen E-Mail-Account nach sich, unabhängig vom E-Mail-Provider oder der Verbindungshierarchie zwischen dem Opfer und dem Angreifer.

Auch wenn so scheint, als hätte der Anwendungsserver die gefährlichen Zeichen escapt, wird die Payload nur von der Haupt-App escapt. Das E-Mail-Template wird gesendet, wie es ist.

Einschleusen der schädlichen Payload via mobile App

Im schlimmsten Fall, wenn ein E-Mail-Provider den Inhalt einer eingehenden Mail nicht ordnungsgemäß escapt, könnte der Autor der Malware das Problem ausnutzen, um eine schädliche JavaScript-Einschleusungsattacke durchzuführen, auch bekannt als Stored XSS.

In einem anderen Szenario könnte ein passendes HTML-Formular eine Rolle spielen, das Informationen über das Opfer sammelt oder es auf eine Site weiterleitet, wo eine schädliche ausführbare Datei heruntergeladen werden kann.

Beispiel-Szenario – Diebstahl von Anmeldedaten

Im letzten November informierten die Forscher von Kaspersky Lab das Sicherheitsteam von LinkedIn über das Problem. Die Plattform wurde repariert und die Bedrohung beseitigt.

Wie Sie vermeiden können, selbst zum Opfer zu werden:

  1. Verwenden Sie eine moderne Internet Security-Lösung, um gefährliche Umleitungen auf Sever herauszufiltern, die Schadprogramme, Phishing-Links und anderes enthalten. Wenn Sie bereits eine solche Lösung installiert haben, halten Sie sie immer auf dem neusten Stand.
  2. In Attachments oder unter Links – selbst wenn sie von bekannten Personen stammen – kann sich schädlicher Inhalt verbergen. Überlegen Sie es sich gut, ob Sie sie öffnen oder nicht.
  3. Melden Sie sich nicht mit Ihrer Dienst-E-Mail-Adresse bei sozialen Plattformen an.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.