News

Zero-Day-Schwachstelle im Unity Web Player entdeckt

Einige Details über eine 0-Day-Sicherheitslücke im Browser-Plugin Unity Web Player wurden jetzt veröffentlicht. Diese Lücke ermöglicht es einem Angreifer, die Anmeldedaten des Opfers zum Lesen von Mitteilungen zu benutzen und anderen Missbrauch mit fremdem Zugriff auf Online-Services zu treiben.

Der finnische Forscher Jouko Pynnonen hat sich nun, ein halbes Jahr nachdem er dem Entwickler einen entsprechenden Bericht hat zukommen lassen, -der bis heute unbeantwortet blieb – auf eine partielle Aufklärung eingelassen. Laut Pynnonen hat Unity Technologies erst vor wenigen Tagen den Erhalt des Berichts über den Bug bestätigt und erklärt, dass das Unternehmen an der Beseitigung des Fehlers arbeite und Maßnahmen zur Verbesserung der Reaktion auf IT-Sicherheitsvorfälle ergreifen wolle.

Das Unternehmen liefert den Unity Web Player zusammen mit seiner Engine, die von Entwicklern für PC-Games unter Windows oder Mac OS X sowie für spezialisierte Konsolen und mobile Geräte verwendet wird. Dieses Plugin wird in vielen Spielen auf Facebook benutzt; das soziale Netzwerk bietet ein eigenes SDK an, um die Facebook-Funktionen in verschiedene Unity-Games zu integrieren. Der Statistik von Unity Technologies zufolge wurde das Player-Plugin des Unternehmens mehr als 125 Millionen Mal heruntergeladen.

Obwohl die entdeckte Sicherheitslücke sehr weitreichend ist, trägt die kürzlich von Google getroffene Entscheidung, NPAPI in seinem Browser zu deaktivieren, wesentlich zur Risikominimierung bei. Diese in den 90er Jahre entwickelte API hat sich einen Namen gemacht – als Hauptverursacher von Abstürzen und Sicherheitsproblemen. Das Ende der Unterstützung von NPAPI in den Versionen Chrome 42 und höher bedeutet die standardmäßige Deaktivierung nicht nur von Unity Web Player, sondern auch von anderen Plugins, wie etwa Java und Silverlight (das Verbot kann noch manuell aufgehoben werden).

„Die Entscheidung von Google verringert das Problem in Bezug auf Chrome ganz wesentlich“, ist sich Pynnonen sicher. „Um das Plugin zu starten, muss man Veränderungen in den Einstellungen vornehmen. Ohne diese Veränderungen funktioniert die Unity-Anwendung ganz einfach nicht. Diese Möglichkeit wird künftig auch noch beseitigt werden.“

Um die neu entdeckte Lücke auszunutzen, muss ein Gauner den Anwender auf seine Website mit einer schädlichen Variante der Unity-App locken oder einen solchen Schädling auf eine legitime Ressource einschleusen oder, beispielsweise, in ein Facebook-Spiel. Laut Aussage des finnischen Forschers ermöglicht diese Sicherheitslücke einer schädlichen Unity-App die Same-Origin-Policy zu umgehen, die Anwendungen den Zugriff auf URLs und Ressourcen aus einer anderen Domain verbietet. Die erfolgreiche Ausnutzung, beispielsweise über den Internet Explorer, eröffnet einem Angreifer die Möglichkeit Dateien einzusehen, die lokal gespeichert sind.

Pynnonen zufolge tauscht ein von einer speziellen Website geladener Schädling die URL im Browser aus. Die echte Unity-App sollte solche Redirects eigentlich nicht zulassen, doch hier scheint das Gegenteil der Fall zu sein. „Einige Versionen von Plugins und Browsern schreiben die Verwendung von IP-Adressen in punktloser Dezimalform vor, und nicht in Form von menschenlesbaren Hostnamen“, erklärt der Experte. „Bei Verwendung von Einträgen in Form von Dezimalzahlen, die nicht durch Punkte getrennt sind, muss es auf der Site des Angreifers eine crossdomain.xml-Datei zur Gewährleistung des vollständigen Zugriffs geben.“ Die Dateien crossdomain.xml können Policies ausweiten, die einen solchen Zugriff von außen verhindern.

Pynnonen hat ein Video mit der Demonstration einer PoC-Umgehung aufgenommen, auf dem man sieht, wie nach dem Laden der gefälschten App eine besondere URL auf der Site des Angreifers angefragt wird und als Antwort eine Fehlermeldung 301 mit Umleitung auf Gmail erfolgt. Daraufhin spielt der Browser dem Angreifer unter Verwendung der Anmeldedaten des Nutzers eine Liste von Mitteilungen zu, und dieser ist mit Hilfe eines Exploits dann in der Lage, einzelne Briefe zu lesen.

„Der Grad der Interaktion [mit dem Opfer] hängt vom Browser-Typ und der Version ab“, unterstreicht Pynnonen. „Innerhalb der letzten Jahre und Monate war die Funktion von Web-Plugins wesentlichen Einschränkungen unterworfen, besonders in Chrome. Einige Browser führen die Anwendung direkt beim Besuch einer Seite aus. Andere erfragen die Erlaubnis zum Ausführen. Der Anwender kann nach eigenem Belieben alle Unity-Apps beim ersten Start irgendeiner von ihnen erlauben und so weiter.“

„Wenn der Start des Plugins [Unity Web Player] erlaubt wird, lädt es automatisch die App und startet die Ausführung im Browser“, fügt der Experte hinzu. Es soll sicher in einer Sandbox laufen, wie auch Flash-Anwendungen oder Java-Applets.“

Quelle: Threatpost

Zero-Day-Schwachstelle im Unity Web Player entdeckt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach