News

WordPress 4.0.1 patcht kritischen XSS-Bug

Das Unternehmen WordPress hat die Version 4.0.1 des Content Management Systems veröffentlicht und damit eine kritische XSS-Sicherheitslücke geschlossen, die die Kommentarfelder auf Websites betrifft, auf denen dieses CMS läuft. Ein Übeltäter muss lediglich auf der Site einen Kommentar mit schädlichem JavaScript hinterlassen, das verarbeitet wird, wenn ein Nutzer die Seite besucht oder der Administrator die Kommentare auf dem Dashboard einsieht.

Am selben Tag, an dem das Update veröffentlicht wurde, postete der finnische Experte Jouko Pynnonen in der Mailingliste Full Disclosure einige Details zu diesem Bug. „Im offensichtlichsten Szenario hinterlässt der Angreifer einen Kommentar, der das JavaScript enthält, sowie einige Links, damit der Kommentar in die Moderationsschlange kommt”, schreibt Pynnonen. „Das Exploit ist dann für normale Anwender, Suchsysteme usw. nicht mehr sichtbar. Das JavaScript wird ausgeführt, wenn der Administrator auf das Dashboard geht, um die neuen Kommentare durchzusehen. In diesem Fall kann das Skript alle Operationen mit Administratorenrechten durchführen.“

Pynnonen erzählt, er und sein Kollege Klikki Oy haben ein PoC-Exploit entwickelt, mit Hilfe dessen Accounts hinzugefügt werden können, das Passwort geändert, oder – unter Verwendung des Plugin-Editors in der Administratorenkonsole – schädlicher PHP-Code auf den Server geschrieben werden kann. Es ist auch in der Lage, das eingeschleuste Skript aus der Datenbank zu löschen. „Wenn ein Angreifer mit Hilfe des Plugin-Editors neuen Code auf den Server schreibt, kann er ihn umgehend mit der nächsten AJAX-Anfrage ausführen und auf diese Weise erhält er auf Betriebssystem-Niveau Zugriff auf den Server.“, erklärt Pynnonen.

Cross-Site-Scripting ist eine ständige Bedrohung für die Sicherheit einer Website. Mit Hilfe einer XSS-Attacke kann ein Hacker Webformulare und andere HTML-Felder auf einer Seite modifizieren, um so die Kontrolle zu übernehmen. WordPress lässt beispielsweise die Verwendung von HTML-Tags in den Kommentaren zu, was Angreifern in die Hände spielen könnte. „Das ist eine sehr gefährliche Möglichkeit“, warnt Johannes Ullrich vom SANS-Institut in einer Informationsschrift. „Die Entwickler [von WordPress] haben bereits versucht, den notwendigen Schutz bereitzustellen, indem sie nur bestimmte Tags erlauben und eine Code-Überprüfung auf unsichere Attribute durchführen. Leider lässt die Umsetzung dieser Überprüfung zu wünschen übrig. Man darf nämlich nicht vergessen, dass Browser auch entstellten HTML-Code einwandfrei parsen.“

Laut Pynnonen ist die XSS-Schwachstelle in den Versionen 3.0 bis 3.9.2 enthalten und wurde vor vier Jahren eingebaut. In der Version 4.0.1 wurden noch drei weitere Bugs dieses Typs beseitigt, sowie eine CSRF (Cross-Side Request Forgery)-Schwachstelle, eine DoS-Sicherheitslücke beim Überprüfen der Passwörter, eine SSRF-Schwachstelle (serverseitiger Anfragen-Austausch) und die Möglichkeit einer Hash-Kollision, die nach den Worten der WordPress Entwickler höchst unwahrscheinlich ist, aber zu einer Kompromittierung des Anwenderaccounts führen könnte.

Zwischenzeitlich haben die Experten von Sucuri eine Infoschrift veröffentlicht, die eine XSS-Sicherheitslücke im Plug-In WP-Statistics behandelt. Der Forscher Marc-Alexandre Montpas warnt, dass ihr alle WordPress-Sites ausgesetzt sind, die die Version 8.3 oder niedriger benutzen. Mit dem Upgrade auf Version 8.3.1 des Plug-Ins wurde dieser Fehler beseitigt.

„Ein Angreifer kann Attacken der Typen Stored Cross Site Scripting (XSS) und Reflected XSS einsetzen, um den Browser des Anwenders dazu zu bringen, administrative Aktionen in seinem Namen durchzuführen“, sagt Montpas. „Unter Ausnutzung dieser Sicherheitslücke kann ein neuer Account (oder mehrere) mit Administratorenrechten erstellt werden, es kann Spam in legitime Blogeinträge geschleust werden, indem die Indizierung in den Suchsystemen verändert wird, und es können andere Aktionen innerhalb der Möglichkeiten des Admin-Paneels von WordPress durchgeführt werden.

Montpas versprach, dass Sucuri innerhalb eines Monats Details zu dieser Sicherheitslücke veröffentlichen wird, und gibt den Nutzern Zeit, das Plug-In zu aktualisieren. „Dieses Plug-In scannt einige Daten schlecht, die für die statistischen Berichte gesammelt und von den Besuchern der Site kontrolliert werden“, erklärt der Experte. „Wenn ein Angreifer schädliches Javascript in den angreifbaren Parameter einschleusen will, so wird es in der Datenbank gespeichert und so wie es ist im Admin-Paneel dargestellt, wodurch der Browser des Opfers gezwungen wird, den Task im Namen des Opfers im Hintergrundmodus auszuführen.“

Quelle:        Threatpost

WordPress 4.0.1 patcht kritischen XSS-Bug

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach