Neun der zehn beliebtesten Firefox-Erweiterungen enthalten Schwachstellen, die eine neue Angriffsmethode durch eine zusätzlich installierte Erweiterung ermöglichen. Diese kann im Huckpack-Verfahren Funktionen der häufig vorhandenen Erweiterungen für ihre bösartigen Zwecke nutzen. Das haben Sicherheitsforscher auf der Konferenz Black Hat Asia in Singapur enthüllt und eine Studie (PDF) dazu veröffentlicht.
Unter den zehn populärsten Add-ons, die Mozilla selbst auf seiner Webseite verfügbar macht, enthält demnach nur Adblock Plus keine solche Schwachstelle. In NoScript, Firebug, Greasemonkey, Video DownloadHelper und FlashGot Mass Downloader hingegen fanden sich Bugs, die die Ausführung bösartigen Codes durch ein weiteres gefährliches Add-on ermöglichen. Viele Erweiterungen erlauben es außerdem, Browser-Cookies zu entwenden, auf das Dateisystem eines Computers zuzugreifen oder Webseiten nach Wunsch eines Angreifers zu öffnen.
Da das alles durch die indirekte Nutzung vertrauenswürdiger Erweiterungen erfolgt, ist es umso schwieriger, auf das bösartige Add-on aufmerksam zu werden. Statt selbst den Besuch einer bösartig präparierten Website oder den Download von Malware zu veranlassen, kann das Add-on Schwachstellen in anderen Erweiterungen für seine Zwecke nutzen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
„Angreifer können eine Erweiterung schreiben, die für jeden, der das Plug-in untersucht, harmlos aussieht“, zitiert Threatpost William Robertson, einen der vier Wissenschaftler, die die Schwachstelle aufdeckten. „Aber wenn sie einmal dem Firefox-Browser hinzugefügt ist, könnte die harmlos wirkende Erweiterung ganz einfach eine zweite Firefox-Erweiterung ausnutzen, um Malware auf den Rechner des Nutzers zu bringen.“ Als Proof-of-Concept-Code erstellten sie eine Firefox-Erweiterung mit rund 50 Programmzeilen, die bei Mozillas Überprüfung nicht als bösartig erkannt wurde.
Eine der Hürden für potentielle Angreifer ist aber natürlich, das der Nutzer diese zusätzliche Erweiterung zuerst installieren muss. Robertson führte weiter aus, dass die Mozilla Foundation schon „eine Zeitlang“ über die Erkenntnisse der Northeastern-University-Forscher informiert und seither besonders wachsam ist, wenn es um die Prüfung neu eingereichter Add-ons für den Browser geht.
Mozilla wiederum verwies auf neue Browser-APIs für WebExtensions, die ab sofort für Firefox verfügbar sind: „Sie sind grundsätzlich sicherer als herkömmliche Add-ons und nicht anfällig für die besondere Attacke, die bei der Präsentation auf Black Hat Asia beschrieben wurde. Als Teil unserer Initiative Electrolysis – unser Projekt für die Einführung einer Multi-Prozess-Architektur für Firefox später in diesem Jahr – werden wir mit dem Sandboxing von Firefox-Erweiterungen beginnen, damit sie keinen Programmcode mehr teilen können.“
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…