eBay schließt RFD-Sicherheitslücke

Seit vielen Jahren schon ist eBay eins der beliebtesten Ziele für Phishing und viele andere Angriffsarten, und Cyberkriminelle perfektionieren ihre Taktiken und Methoden ständig. Ihre Effektivität ist zu einem großen Teil von der Fähigkeit abhängig, die Anwender davon zu überzeugen, dass sie sich auf der echten Website von eBay befinden. Und eBay hat nun eine Sicherheitslücke geschlossen, die das wesentlich vereinfacht hat.

Auf der Website befand sich eine RFD-Sicherheitslücke (Reflected File Download, zu Deutsch etwa ‚gespiegelter Dateidownload‘), die ein Verbrecher hätte ausnutzen konnen, um die Opfer davon zu überzeugen, dass sie Dateien von der legitimen eBay-Domain herunterladen. In einigen Browsern, Internet Explorer 8 und 9 eingeschlossen, konnte eine Attacke durchgeführt werden, indem der Anwender lediglich die schädliche URL lud. In anderen Browsern musste der Nutzer dazu gebracht werden, eine Datei zu laden.

Der Sicherheitsforscher David Sopas entdeckte die Sicherheitslücke Mitte März und informierte eBay darüber. Das Unternehmen veröffentlichte Anfang letzter Woche ein entsprechendes Patch. Diese Art von Sicherheitslücke kommt nicht so häufig vor wie das bekannte Cross-Site-Scripting (XXS) oder Cross-Site Request-Forgery (XSRF), doch sie kann unter bestimmten Umständen ebenso gefährlich sein.

„Was ist, wenn die Kriminellen ihre Phishing-Kampagnen gegen eBay verbessern? Was, wenn schädliche Seiten sich mit eBay verlinken und dann Schaddateien laden und Anwender infizieren?“, schreibt Sopas in einer Mitteilung, in der die Schwachstelle beschrieben wird. „Als ich eBay benutzt und die Anfragen untersucht habe, entdeckte ich den Aufruf einer JSON-Datei, der mich dazu brachte, über eine Sicherheitsanfälligkeit nachzudenken, und zwar den Reflected File Download.“

Sopas, Experte bei dem portugiesischen Unternehmen WebSegura, entdeckte vor einigen Wochen ähnliche Schwachstellen in Services von Facebook und Instagram.

Für ein Opfer sieht der ganze Prozess so aus, als ob eine vertrauenswürdige eBay-Domain ihn zum Download einer Datei auffordert, was kein Misstrauen hervorruft. Ein Cyberkrimineller kann die vollständige Kontrolle über den Computer des Opfers erhalten und unterschiedliche Attacken durchführen“, sagte Sopas.

Sopas erklärte zudem, dass Attacken gegen solche Sicherheitslücken relativ einfach umzusetzen seien, es aber wesentlich schwieriger sei, den Bug selbst zu finden.

„Relativ einfach anzuwenden, aber schwer zu finden. RFD-Attacken sind noch sehr weit verbreitet, doch viele Unternehmen wissen nicht, dass sie wirklich gefährlich sind“, schreibt Sopas in einer Mail. „Das Opfer meint immer, dass die Datei von einer vertrauenswürdigen Website geladen wird.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.