Imperva meldet einen umfangreichen DDoS-Angriff, der keine Schwachstelle, sondern das legitime HTML5-Attribut Ping nutzte. Zur Mitwirkung bewegt wurden dabei vorwiegend chinesische Smartphone-Nutzer. Die US-Sicherheitsfirma geht jedoch davon aus, dass ein solcher Angriff mit den Nutzern eines beliebigen Webbrowsers erfolgen könnte – und künftig mit weiteren Angriffen dieser Art zu rechnen ist.
Der Ping-Tag in HTML5 soll eigentlich Website-Betreibern erlauben, das Anklicken eines Links zu erkennen. Das Attribut verweist dafür auf eine alternative URL, um über den betätigten Hyperlink zu informieren. Beim beobachteten mehrstündigen DDoS-Angriff gelang es damit aber, von rund 4000 Anwender-IP-Adressen aus bis zu 7500 Anfragen je Sekunde zu erzeugen. Insgesamt wurden so rund 70 Millionen Anfragen generiert.
Die bösartigen Anfragen enthielten die HTTP-Header „Ping-From“ sowie „Ping-To“ und bezogen sich auf die URL „http://booc.gz.bcebos.com/you.html“. Dabei handelte es sich um eine äußerst einfache HTML-Seite mit den zwei externen JavaScript-Dateien „ou.js“ und yo.js“. Sie enthielten die URLs, auf die die DDoS-Attacke zielte, und schufen einen Tag mit einem Ping-Attribut, das jeweils auf eine anzugreifende URL verwies.
Nicht völlig klar ist, wie die Hintermänner des Angriffs Nutzer zur Mitwirkung bewegen konnten. Für die Attacke eingespannt wurden jedenfalls Nutzer des chinesischen Chat-Dienstes WeChat und des dafür überwiegend eingesetzten QQBrowser. Die Sicherheitsexperten von Imperva nehmen an, dass Social Engineering in Kombination mit bösartig präparierten Inseraten zum Einsatz kam. Denkbar sei etwa, dass der Link zu einer Website mit der bösartigen Werbung in einem Iframe in großen WeChat-Gruppenchats veröffentlicht wurde. So könnten die ahnungslosen Nutzer zum Besuch der Website gebracht worden sein – und solange sie sich dort aufhielten, wurden laufend Pings für den DDoS-Angriff erzeugt.
Angriffe mit Ping-Diensten sind nicht wirklich neu. So nutzten Angreifer etwa das Pingback-Feature in WordPress schon vor Jahren für DDoS-Angriffe. In einem Fall wurden innerhalb weniger Stunden Anfragen von über 162.000 verschiedenen und legitimen Sites gezählt, die an ein Angriffsziel geschickt wurden.
Während der jetzt in China beobachtete DDoS-Angriff mit Ping vor allem über den dort verbreiteten QQBrowser erfolgte, könnte laut Imperva jeder andere Webbrowser dafür ebenfalls ausgenutzt werden. „Schlimmer noch, die Browserhersteller unternehmen Schritte, die es für die Nutzer schwieriger machen, das Ping-Feature in ihrem Browser abzuschalten und damit eine unwissentliche Teilnahme an einer solche Attacke zu vermeiden“, kommentieren die Sicherheitsexperten.
Tatsächlich sollen neuere Versionen von Chrome, Safari, Microsoft Edge und Opera nicht länger erlauben, das Ping-Feature zu deaktivieren, das als Tracking-Funktion umstritten ist. In Firefox ist es bislang verfügbar, aber nicht standardmäßig aktiviert. Laut Bleeping Computer zieht inzwischen jedoch auch Mozilla in Erwägung, Ping in Firefox standardmäßig zu aktivieren. Das Feature weiterhin blockieren will der auf den Schutz der Privatsphäre ausgerichtete Browser Brave, der auf Chromium basiert.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…