Zero-Day-Schwachstelle im Unity Web Player entdeckt

Einige Details über eine 0-Day-Sicherheitslücke im Browser-Plugin Unity Web Player wurden jetzt veröffentlicht. Diese Lücke ermöglicht es einem Angreifer, die Anmeldedaten des Opfers zum Lesen von Mitteilungen zu benutzen und anderen Missbrauch mit fremdem Zugriff auf Online-Services zu treiben.

Der finnische Forscher Jouko Pynnonen hat sich nun, ein halbes Jahr nachdem er dem Entwickler einen entsprechenden Bericht hat zukommen lassen, -der bis heute unbeantwortet blieb – auf eine partielle Aufklärung eingelassen. Laut Pynnonen hat Unity Technologies erst vor wenigen Tagen den Erhalt des Berichts über den Bug bestätigt und erklärt, dass das Unternehmen an der Beseitigung des Fehlers arbeite und Maßnahmen zur Verbesserung der Reaktion auf IT-Sicherheitsvorfälle ergreifen wolle.

Das Unternehmen liefert den Unity Web Player zusammen mit seiner Engine, die von Entwicklern für PC-Games unter Windows oder Mac OS X sowie für spezialisierte Konsolen und mobile Geräte verwendet wird. Dieses Plugin wird in vielen Spielen auf Facebook benutzt; das soziale Netzwerk bietet ein eigenes SDK an, um die Facebook-Funktionen in verschiedene Unity-Games zu integrieren. Der Statistik von Unity Technologies zufolge wurde das Player-Plugin des Unternehmens mehr als 125 Millionen Mal heruntergeladen.

Obwohl die entdeckte Sicherheitslücke sehr weitreichend ist, trägt die kürzlich von Google getroffene Entscheidung, NPAPI in seinem Browser zu deaktivieren, wesentlich zur Risikominimierung bei. Diese in den 90er Jahre entwickelte API hat sich einen Namen gemacht – als Hauptverursacher von Abstürzen und Sicherheitsproblemen. Das Ende der Unterstützung von NPAPI in den Versionen Chrome 42 und höher bedeutet die standardmäßige Deaktivierung nicht nur von Unity Web Player, sondern auch von anderen Plugins, wie etwa Java und Silverlight (das Verbot kann noch manuell aufgehoben werden).

„Die Entscheidung von Google verringert das Problem in Bezug auf Chrome ganz wesentlich“, ist sich Pynnonen sicher. „Um das Plugin zu starten, muss man Veränderungen in den Einstellungen vornehmen. Ohne diese Veränderungen funktioniert die Unity-Anwendung ganz einfach nicht. Diese Möglichkeit wird künftig auch noch beseitigt werden.“

Um die neu entdeckte Lücke auszunutzen, muss ein Gauner den Anwender auf seine Website mit einer schädlichen Variante der Unity-App locken oder einen solchen Schädling auf eine legitime Ressource einschleusen oder, beispielsweise, in ein Facebook-Spiel. Laut Aussage des finnischen Forschers ermöglicht diese Sicherheitslücke einer schädlichen Unity-App die Same-Origin-Policy zu umgehen, die Anwendungen den Zugriff auf URLs und Ressourcen aus einer anderen Domain verbietet. Die erfolgreiche Ausnutzung, beispielsweise über den Internet Explorer, eröffnet einem Angreifer die Möglichkeit Dateien einzusehen, die lokal gespeichert sind.

Pynnonen zufolge tauscht ein von einer speziellen Website geladener Schädling die URL im Browser aus. Die echte Unity-App sollte solche Redirects eigentlich nicht zulassen, doch hier scheint das Gegenteil der Fall zu sein. „Einige Versionen von Plugins und Browsern schreiben die Verwendung von IP-Adressen in punktloser Dezimalform vor, und nicht in Form von menschenlesbaren Hostnamen“, erklärt der Experte. „Bei Verwendung von Einträgen in Form von Dezimalzahlen, die nicht durch Punkte getrennt sind, muss es auf der Site des Angreifers eine crossdomain.xml-Datei zur Gewährleistung des vollständigen Zugriffs geben.“ Die Dateien crossdomain.xml können Policies ausweiten, die einen solchen Zugriff von außen verhindern.

Pynnonen hat ein Video mit der Demonstration einer PoC-Umgehung aufgenommen, auf dem man sieht, wie nach dem Laden der gefälschten App eine besondere URL auf der Site des Angreifers angefragt wird und als Antwort eine Fehlermeldung 301 mit Umleitung auf Gmail erfolgt. Daraufhin spielt der Browser dem Angreifer unter Verwendung der Anmeldedaten des Nutzers eine Liste von Mitteilungen zu, und dieser ist mit Hilfe eines Exploits dann in der Lage, einzelne Briefe zu lesen.

„Der Grad der Interaktion [mit dem Opfer] hängt vom Browser-Typ und der Version ab“, unterstreicht Pynnonen. „Innerhalb der letzten Jahre und Monate war die Funktion von Web-Plugins wesentlichen Einschränkungen unterworfen, besonders in Chrome. Einige Browser führen die Anwendung direkt beim Besuch einer Seite aus. Andere erfragen die Erlaubnis zum Ausführen. Der Anwender kann nach eigenem Belieben alle Unity-Apps beim ersten Start irgendeiner von ihnen erlauben und so weiter.“

„Wenn der Start des Plugins [Unity Web Player] erlaubt wird, lädt es automatisch die App und startet die Ausführung im Browser“, fügt der Experte hinzu. Es soll sicher in einer Sandbox laufen, wie auch Flash-Anwendungen oder Java-Applets.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.