Guardio-Spezialisten entdeckten (
Nachrichten ,
Forschung ) eine interessante Sicherheitslücke in Evernote. Genauer gesagt, nicht in der Anwendung zum Speichern von Notizen, sondern in der Erweiterung für den Google Chrome-Browser. Mit Evernote Web Clipper können Sie Webseiten ganz oder teilweise speichern und zusätzlich zum ursprünglichen Inhalt Kommentare hinzufügen.
Diese ziemlich breite Funktionalität hat dazu geführt, dass Code auf allen vom Benutzer besuchten Seiten eingebettet werden muss, wenn die Evernote-Erweiterung installiert ist. Anfänglich bietet ein kleines Skript zusätzliches Laden von Code, wenn der Benutzer die Seite speichern möchte. Wie sich herausstellte, wurde genau dieses Laden des Codes nicht wirklich überprüft, was es dem Angreifer theoretisch ermöglichte, private Benutzerdaten von anderen Ressourcen zu empfangen. es war genug, um die vorbereitete Seite zu öffnen. Glücklicherweise blieb die Bedrohung theoretisch: Das Problem wurde geschlossen, es wurden keine Beweise für seine Verwendung für echte Angriffe gefunden.
Die angreifende Webseite enthält neben dem sichtbaren Inhalt mehrere versteckte Frames, die auf Websites mit privaten Daten zugreifen (wie im obigen Video gezeigt, sind dies Facebook- und PayPal-Seiten). Die Evernote-Erweiterung fügt dem Code einer solchen Seite ein eigenes Skript hinzu, das für das weitere Laden des Codes in alle Frames verantwortlich ist. Das Problem ist, dass die Quelle des Codes nicht richtig überprüft wird und durch den Code des Angreifers ersetzt werden kann.
Ein Benutzereingriff (z. B. Aktivierung von Erweiterungsfunktionen) ist nicht erforderlich. Es reicht aus, die geänderte Seite zu öffnen, und Informationen von versteckten Iframe-Elementen werden an den Angreifer übertragen. So funktioniert eine bestimmte Version von Proof of Concept, andere Optionen sind möglich. Die Sicherheitsanfälligkeit ähnelt einem
Problem, das im letzten Jahr bei der Erweiterung von Grammarly, einem Rechtschreibprüfungsdienst, entdeckt und geschlossen wurde. In diesem Fall waren Grammatik-Autorisierungstoken für jede andere Website verfügbar, sodass sich jeder beim Dienst anmelden und Zugriff auf Benutzerinformationen erhalten konnte (mehr zu dieser Sicherheitsanfälligkeit
hier ). Beide Dienste müssen den Quellcode von Webseiten wirklich ändern, aber Sie sollten vorsichtig sein, wenn Sie solche Funktionen implementieren.
Eine halbe Million gefährdeter Websites, 1700 gehackte Online-Shops
Foregenix veröffentlichte die Ergebnisse einer Studie zur Website-Sicherheit (
Nachrichten , Unternehmensblogbeitrag). Von den fast neun Millionen Websites, die laut Foregenix regelmäßig überwacht werden, weisen etwa eine halbe Million schwerwiegende Sicherheitslücken auf. Die spezifischen Kriterien für die Trennung schwerwiegender von nicht schwerwiegenden Problemen werden nicht bekannt gegeben. Es wird jedoch angegeben, dass bei der Auswahl problematischer Standorte nur diejenigen gefunden werden, bei denen bekannte Schwachstellen mit einer CVSS-Bewertung von mehr als 7 Punkten bekannt sind. Es ist nicht ganz klar, wie selbst solche Schwachstellen in der Praxis ausgenutzt werden, aber manchmal ist es nützlich, eine solche "mittlere Temperatur in einem Krankenhaus" zu schätzen.
Separat untersuchte Online-Shops - Websites, auf denen auf die eine oder andere Weise der Empfang von Zahlungen von Benutzern implementiert wurde. Magento gilt als die anfälligste CMS-Plattform für Online-Shops: 86,5% der Websites, die daran arbeiten, weisen schwerwiegende Sicherheitslücken auf. Von den 1.700 Websites, auf denen Skripte entdeckt wurden, um die Rechnungsinformationen der Benutzer zu stehlen, arbeiten etwa tausend mit Magento, die meisten davon in Nordamerika. Laut dem Unternehmen, das die Studie durchführt, erfahren angegriffene Websites durchschnittlich 5,5 Monate nach dem Hacking eine Sicherheitslücke.
CMS Magento wurde im vergangenen Jahr berüchtigt, als Cyberkriminelle der Magecart-Gruppe anfingen, gefährdete Websites
massiv anzugreifen , indem sie Skripte darauf installierten, um die vom Benutzer beim Bezahlen eingegebenen Zahlungsdaten zu stehlen. Ein typisches Prinzip eines solchen Skimmers war das Öffnen eines gefälschten Fensters zur Eingabe einer Kreditkartennummer und anderer Informationen. Ein solches Fenster wurde über einem legitimen Formular zur Eingabe von Informationen angezeigt.
Bei einem groß angelegten Angriff im Jahr 2018 wurde eine Sicherheitslücke ausgenutzt, die 2016 entdeckt und geschlossen wurde. Leider wurden viele Websites seit zwei Jahren nicht mehr aktualisiert, sodass die Schätzung von Foregenix (~ 1000 der 200.000 mit Magento infizierten Websites) sogar konservativ ist. Im vergangenen Oktober zählte der Forscher Willem de Grot, der Magecart überwacht, 7.000 Standorte mit einem installierten Skimmer.
Apropos alte Schwachstellen. Microsoft warnt vor einer neuen Spam-Welle infizierter RTF-Dateien, die eine Sicherheitsanfälligkeit in Microsoft Office ausnutzen, die 2017 entdeckt und geschlossen wurde. Das Problem tritt in Versionen von 2007 bis 2016 auf, und für alle Varianten wurden Patches ausgegeben. Das Öffnen eines infizierten Dokuments in einer anfälligen Version von Office führt dazu, dass eine Hintertür heruntergeladen und auf dem System installiert wird. Vergessen Sie nicht, ein Upgrade durchzuführen.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.