Cross-Site-Scripting-Lücke in Yahoo Webmail geschlossen

Yahoo hat eine kritische Cross-Site-Scripting-Lücke (XSS) in seinem Webmail-Client geschlossen. Sie erlaubte es Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und ohne Einwilligung des Anwenders E-Mails weiterzuleiten oder zu versenden. Entdeckt hatte die Schwachstelle der finnische Sicherheitsforscher Jouko Pynnönen vom Security-Unternehmen Klikki, das in einem Blogbeitrag nun Informationen dazu veröffentlicht hat.

Demnach hat Pynnönen den XSS-Fehler am 26. Dezember 2015 über Yahoos Sicherheitslücken-Prämienprogramm auf HackerOne gemeldet. Er erhielt dafür 10.000 Dollar. Yahoo reagierte schnell und schloss die Lücke am 6. Januar. Betroffen waren alle Versionen von Yahoo Webmail, nicht aber die Mobilanwendungen. Die Schwachstelle wurde nach Angaben von Klikki aber nicht aktiv ausgenutzt.

Durch sie ließ sich schädlicher JavaScript-Code in eine speziell formatierte E-Mail einbetten, der dann automatisch ausgeführt wurde, sobald ein Anwender die Nachricht öffnete. Klikki lieferte Yahoo auch eine Proof-of-Concept-E-Mail, die den Posteingang des Opfers an eine externe Website weiterleitete. Auf ähnliche Weise konnte ein E-Mail-Virus ein Yahoo-Mail-Konto infizieren und sich selbst an alle ausgehenden Nachrichten anhängen.

Wie die meisten E-Mail-Dienste heutzutage, zeigt auch Yahoo Mail Nachrichten im HTML-Format an, nachdem sie auf möglichen Schadcode untersucht wurden. Doch laut Klikki arbeiteten Yahoos Filter im geschilderten Fall nicht zuverlässig, so dass auf bestimmte Weise modifizierter HTML-Code sie umgehen konnte.

Per Brute-Force-Methode stellte Pynnönen fest, welche Elemente Yahoos Filter durchließen. Dazu erstellte er einfach eine E-Mail mit allen bekannten HTML-Tags sowie -Attributen und betrachtete die Nachricht anschließend in Yahoo Mail. Dabei kam heraus, dass Yahoos Filter bei bestimmten HTML-Attributen mit einem Wert zwar diesen Wert entfernten, aber nicht das vorangestellte Gleichheitszeichen. Dies ermöglichte im Anschluss das Einfügen eines uneingeschränkten HTML-Attributs in bestimmte Tags und somit die automatische Ausführung beliebigen JavaScript-Codes. Einen darauf basierenden Exploit für die Lücke demonstriert Klikki in einem Video:

Pynnönen hatte im vergangenen Jahr schon eine XSS-Schwachstelle in der Blogging-Software WordPress entdeckt, die kurze Zeit später beseitigt wurde. Angreifer konnten sie ausnutzen, um über ein Kommentarfeld einer Website schädlichen JavaScript-Code zu injizieren. Mittels eines Cross-Site-Scripting-Angriffs war es so möglich, Nutzerdaten zu stehlen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de