Salesforce.com flickt Cross-Site-Scripting-Lücke

Salesforce.com hat eine Schwachstelle in einer Subdomain ausgebügelt. Eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer für Phishing-Attacken missbrauchen, mit dem Ziel, Konten zu übernehmen oder auch bösartigen Code zu installieren. Dies entdeckte der Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs und meldete es Salesforce vor rund einem Monat.

Sood liefert die Details jetzt in seinem Blog, da keine Gefahr für Salesforce-Nutzer mehr besteht. Demnach steckte das Leck in der für einen Blog genutzten Subdomain admin.salesforce.com, was es etwas weniger kritisch machte. Hacker konnten immerhin die vertrauenswürdige Domain nutzen, um ihre Opfer in Sicherheit zu wiegen und sie etwa dazu zu bringen, ihre Zugangsdaten erneut einzugeben.

JavaScript-Code konnte zur Ausführung auf dem Rechner des Opfers auch von Websites Dritter geladen werden. Mit ihm ließ sich beispielsweise ein Download anstoßen.

Der Fehler kam dadurch zustande, dass eine bestimmte Funktion in einer installierten Anwendung die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterte. Sood schreibt, dadurch sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuhebeln. „Dazu kommt, dass alle Salesforce-Konten für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on nutzt.“

Als Beispiel führt der Sicherheitsforscher eine Phishing-Kampagne vor, die das Salesforce-Log-in nachahmt. Der Anwender wird per Mail aufgefordert, sich bei Salesforce einzuloggen. Nutzt er dafür den in der Mail enthaltenen Link, kommt er zwar auf die Domain admin.salesforce.com, die Nutzerdaten führen aber nicht zu einem Log-in, sondern werden von dem präpaierten, mit XSS eingeschleusten Skript an einen Server des Angreifers gesandt.

[mit Material von Martin Schindler, silicon.de]