Categories: Sicherheit

Salesforce.com flickt Cross-Site-Scripting-Lücke

Salesforce.com hat eine Schwachstelle in einer Subdomain ausgebügelt. Eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer für Phishing-Attacken missbrauchen, mit dem Ziel, Konten zu übernehmen oder auch bösartigen Code zu installieren. Dies entdeckte der Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs und meldete es Salesforce vor rund einem Monat.

Sood liefert die Details jetzt in seinem Blog, da keine Gefahr für Salesforce-Nutzer mehr besteht. Demnach steckte das Leck in der für einen Blog genutzten Subdomain admin.salesforce.com, was es etwas weniger kritisch machte. Hacker konnten immerhin die vertrauenswürdige Domain nutzen, um ihre Opfer in Sicherheit zu wiegen und sie etwa dazu zu bringen, ihre Zugangsdaten erneut einzugeben.

JavaScript-Code konnte zur Ausführung auf dem Rechner des Opfers auch von Websites Dritter geladen werden. Mit ihm ließ sich beispielsweise ein Download anstoßen.

Der Fehler kam dadurch zustande, dass eine bestimmte Funktion in einer installierten Anwendung die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterte. Sood schreibt, dadurch sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuhebeln. „Dazu kommt, dass alle Salesforce-Konten für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on nutzt.“

Als Beispiel führt der Sicherheitsforscher eine Phishing-Kampagne vor, die das Salesforce-Log-in nachahmt. Der Anwender wird per Mail aufgefordert, sich bei Salesforce einzuloggen. Nutzt er dafür den in der Mail enthaltenen Link, kommt er zwar auf die Domain admin.salesforce.com, die Nutzerdaten führen aber nicht zu einem Log-in, sondern werden von dem präpaierten, mit XSS eingeschleusten Skript an einen Server des Angreifers gesandt.

Nachgebautes und per XSS injiziertes Salesforce-Log-in (Bild: Elastica)

[mit Material von Martin Schindler, silicon.de]

Loading ...
Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago