Geheime Daten zu Sicherheitslücken aus Bugzilla gestohlen

Sicherheitsforscher predigen den Anwendern immer wieder, nicht ein und dasselbe Passwort für verschiedene Accounts zu benutzen, doch die Botschaft stößt nur allzu häufig auf taube Ohren. Jetzt haben Vertreter von Mozilla festgestellt, dass auch fortgeschrittene User diesen Rat nicht immer befolgen, denn irgendeinem Cyberkriminellen ist es gelungen, den Account eines Bugzilla-Nutzers zu knacken, indem er ein Passwort benutzte, das er sich beim Hack einer anderen Site verschafft hatte.

Möglicherweise wusste der Verbrecher, wen er angreift, da das Ziel ein privilegierter Anwender war, der eingeschränkten Zugriff auf wichtige Informationen über Sicherheitsbugs in den Produkten von Mozilla hatte. Bugzilla ist ein Bugtracker, der von Mozilla für verschiedene Projekte benutzt wird. Obgleich ein großer Teil der Informationen daraus öffentlich ist, sind doch einige auch geheim. Insbesondere sind das Daten über Sicherheits-Schwachstellen, die gerade repariert oder bewertet werden (solche Informationen bleiben so lange vertraulich, bis ein entsprechendes Patch herausgegeben wird, oder bis beschlossen wird, die Sicherheitslücke nicht zu schließen).

Mozilla-Vertreter erklärten, dass dieser Cybergangster möglicherweise bereits seit September 2013 Zugriff auf den Account des Opfers hatte. Der frühste belegte Fall eines Zugriffs datiert auf den September 2014. Nachdem er sich Zugriff auf die Zugangsdaten verschafft hatte, konnte der Hacker Informationen über eine Sicherheitslücke in Firefox stehlen, die Mozilla im vergangenen Monat gestopft hat – nachdem bereits ein Exploit für diese Schwachstelle entdeckt worden war.

„Der von einem Kriminellen gehackte Account wurde sofort gesperrt, nachdem Mozilla festgestellt hatte, dass er kompromittiert worden war. Wir glauben, dass der Hacker die Informationen aus Bugzilla benutzt hat, um eine Sicherheitslücke auszunutzen, die wir am 6. August geschlossen haben. Es gibt keine Anzeichen dafür, dass irgendwelche anderen Daten, die der Cyberverbrecher erhalten hat, gegen die Nutzer von Firefox eingesetzt wurden. In der am 27. August veröffentlichten Firefox-Version wurden alle Schwachstellen beseitigt, über die der Hacker sich Kenntnis verschafft hat und die er zum Schaden der Firefox-User hätte ausnutzen können“, teilte Richard Barnes von Mozilla in einem Blog mit.

Der Bug, über den nach Meinung von Mozilla-Vertretern der Cyberkriminelle Informationen gestohlen hat, wurde am 6. August beseitigt. Der Fehler lag in der Art, in der der Browser in einigen Fällen die Same-Origin-Policy verarbeitete. Mozilla entdeckte den Bug, nachdem der Anwender über ihn kompromittiert worden war, als er eine russische Nachrichtensite besuchte, die Werbebanner mit dem Code des Exploits enthielt.

Vertreter von Mozilla erklärten, dass der Verbrecher, der sich Zugriff auf Bugzilla verschafft hatte, letztlich Zugriff auf 185 verschiedene Bugs hatte, davon 53 schwere, die Sicherheit betreffende Schwachstellen. Die gute Nachricht dabei ist, dass 43 dieser 53 Fehler bereits behoben worden waren, als sie dem Hacker in die Hände fielen. Die verbleibenden 10 konnten allerdings noch ausgenutzt werden.

Aus den FAQ von Mozilla zu dieser Attacke:

„Für die verbleibenden 10 Bugs blieb dem Cyberkriminellen ein gewisses Zeitfenster, von dem Moment, in dem er Zugriff darauf erhielt bis zu dem Zeitpunkt, zu dem sie in Firefox beseitigt wurden:

für 2 Bugs weniger als 7 Tage;

für 5 Bugs zwischen 7 und 36 Tagen;

für 3 Bugs mehr als 36 Tage (131 Tage, 157 Tage, 335 Tage).

Das Unternehmen erklärte, dass – obgleich der Verbrecher die Möglichkeit gehabt hätte, diese Schwachstellen für Attacken auf die Anwender auszunutzen – die einzige bekannte Attacke durch die Ausnutzung eines Bugs erfolgte, der im vergangenen Monat beseitigt wurde.

„Technisch ist es möglich, dass einer dieser Bugs innerhalb des entsprechenden Zeitfensters gegen die User von Firefox benutzt wurde. Eine der Sicherheitslücken, die weniger als 36 Tage offen lag, wurde in einer Attacke ausgenutzt, doch sie wurde am 6. August 2015 gestopft. Von dieser Attacke abgesehen, verfügen wir über keine Daten, die davon zeugen würden, dass die gestohlenen Bugs ausgenutzt wurden“, heißt es in den FAQ.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.