News

Neue Attacken nutzen alte Probleme mit Cookies aus

Falls Sie es noch nicht wussten oder vergessen haben: Cookies sind nicht unbedingt sonderlich gut vor Angriffen geschützt.

Das vom US-Ministerium für Innere Sicherheit, DHS, unterstützte CERT (Cyber Emergency Response Team) am Software Engineering Institute der Carnegie Mellon University gab diese Woche eine Alarmmeldung heraus, in der die Anwender vor der fortgesetzten Vorherrschaft einer ganzen Klasse von Sicherheitslücken in Cookie-Dateien warnen, welche die persönlichen und sogar die finanziellen Daten der Anwender einem Risiko aussetzen könnten.

Der Alarm wurde durch eine Studie mit dem Titel „Cookies Lack Integrity: Real-World Implications“ ausgelöst, die letzten Monat auf der USENIX-Konferenz vorgestellt wurde. Die Verfasser sind: Xiaofeng Zheng, Jian Jiang, Jinjin Liang, Haixin Duan, Shuo Chen, Tao Wan und Nicholas Weaver von der chinesischen Tsinghua University, dem International Computer Science Institute, Microsoft, Huawei Kanada und der University of California, Berkeley.

Die Autoren der Studie haben sich intensiv mit Cookie-Einschleusungsattacken beschäftigt, die selbst in geschützten HTTPS-Verbindungen durchgeführt werden können. Sie beschreiben Sicherheitslücken und Schwachstellen in der Umsetzung der RFC 6265 Cookie-Spezifikation.

Die auf der USENIX beschriebene Attacke macht eine Netzwerk-basierte „Man-in-the-Middle“-Position erforderlich, wodurch die Möglichkeit eröffnet wird, Cookie-Dateien in eine HTTP-Sitzung einzuschleusen, die ebenfalls über HTTPS-Verbindungen übermittelt werden. Die Forscher erläuterten, dass diese Sicherheitslücken in einer Reihe von stark frequentierten Sites bestehen – namentlich nannten sie Google und die Bank of America –, und ergänzten, dass unter anderem der Verlust persönlicher Daten, Account-Diebstahl und auch finanzielle Verluste zu den Folgen gehören können.

„Nehmen wir beispielsweise einmal an, Sie finden sich in einem Netz, das ein Cyberkrimineller kontrollieren kann (wie etwa Starbucks oder offenes WiFi). Der Verbrecher übernimmt dann kurzfristig die Kontrolle über ihren Browsers, um Cookies für die Zielseite einzuschleusen“, erklärte Weaver gegenüber Threatpost. „Dann, etwas später, wenn Sie diese Site besuchen (in einem anderen Netz, unter anderen Bedingungen), übermittelt Ihr Browser der Site den gefälschten Cookie und die Site verarbeitet diesen Cookie. Er kann den Nutzer beispielsweise nur beobachten oder es kann zu einer vollständigen XSS-Attacke ausufern, die in der Cookie-Datei selbst voreingestellt ist.“

In dem Dokument weisen die Forscher darauf hin, dass die Domain-Isolation von Cookies schwach ist, und dass unterschiedliche, aber zusammenhängende Domains sich dasselbe Cookie-Set teilen können. Auszug aus der Studie:

„Ein Cookie kann das Flag „sicher“ haben, was bedeutet, dass es nur via HTTPS übertragen wird, was seine Vertraulichkeit während einer Man-in-the-Middle-Attacke verstärkt“. Trotzdem gibt es keine derartige Maßnahme zum Schutz seiner Integrität vor demselben Gegner: Einer HTTP-Anfrage ist es erlaubt, geschützte Cookies für ihre Domain zu installieren. Ein Cyberkrimineller auf einer verbundenen Domain kann die Integrität des Cookies zerstören, indem er gemeinsame Cookies verwendet.“

Selbst eine Same-Origin-Policy, die den Inhalt zwischen Domains isolieren soll, ist kein effektiver Schutz vor solchen Attacken, da ein Verbrecher den Browser des Opfers dazu bringen kann, eine schädliche Site zu besuchen.

„Da RFC 6265 keinen Mechanismus zur Gewährleistung der Isolation und Garantie der Integrität definiert, authentifizieren nicht alle Webbrowser die Domain, die die Cookies installiert“, heißt es in der Warnung des CERT. „Ein Cyberkrimineller kann das für die Installation einer Cookie-Datei nutzen, die dann über eine HTTPS-Verbindung anstelle des von der echten Site installierten Cookies verwendet wird.“

Die Forscher schlagen eine Reihe möglicher Schutzmaßnahmen vor, von denen die wichtigste die Implementierung von HSTS (HTTP Strict Transport Security) ist, sowie Veränderungen, die von den Browserherstellern vorgenommen werden müssen. Das Dokument beschreibt außerdem ein Beispiel für eine Browsererweiterung, die Cookie-Dateien zwischen HTTP- und HTTPS-Domains besser isoliert.

„HSTS hält Ihren Browser davon ab, die Cookies eines Angreifers für alle HSTS unterstützenden Sites zu akzeptieren, die Sie schon einmal besucht haben, da sie nicht über HTTPS, sondern über HTTP laufen“, sagte Weaver. „So ist jede Site, die für ihre Basis-Domain und alle Subdomains HSTS eingestellt hat, gegenüber Angriffen immun.“

„[Die Browser] müssen die Art, wie Cookies verarbeitet werden, ändern, wobei das immer ein riskantes Feld ist, denn es besteht die Möglichkeit, dass eine strengere Policy zum Schutz von Cookies bestehende Websites kaputtmacht“, ergänzte Weaver.

Quelle: Threatpost

Neue Attacken nutzen alte Probleme mit Cookies aus

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach