DDoS-Angriff mit HTML5-Feature Ping

Imperva meldet einen umfangreichen DDoS-Angriff, der keine Schwachstelle, sondern das legitime HTML5-Attribut Ping nutzte. Zur Mitwirkung bewegt wurden dabei vorwiegend chinesische Smartphone-Nutzer. Die US-Sicherheitsfirma geht jedoch davon aus, dass ein solcher Angriff mit den Nutzern eines beliebigen Webbrowsers erfolgen könnte – und künftig mit weiteren Angriffen dieser Art zu rechnen ist.

Der Ping-Tag in HTML5 soll eigentlich Website-Betreibern erlauben, das Anklicken eines Links zu erkennen. Das Attribut verweist dafür auf eine alternative URL, um über den betätigten Hyperlink zu informieren. Beim beobachteten mehrstündigen DDoS-Angriff gelang es damit aber, von rund 4000 Anwender-IP-Adressen aus bis zu 7500 Anfragen je Sekunde zu erzeugen. Insgesamt wurden so rund 70 Millionen Anfragen generiert.

Die bösartigen Anfragen enthielten die HTTP-Header „Ping-From“ sowie „Ping-To“ und bezogen sich auf die URL „http://booc.gz.bcebos.com/you.html“. Dabei handelte es sich um eine äußerst einfache HTML-Seite mit den zwei externen JavaScript-Dateien „ou.js“ und yo.js“. Sie enthielten die URLs, auf die die DDoS-Attacke zielte, und schufen einen Tag mit einem Ping-Attribut, das jeweils auf eine anzugreifende URL verwies.

Nicht völlig klar ist, wie die Hintermänner des Angriffs Nutzer zur Mitwirkung bewegen konnten. Für die Attacke eingespannt wurden jedenfalls Nutzer des chinesischen Chat-Dienstes WeChat und des dafür überwiegend eingesetzten QQBrowser. Die Sicherheitsexperten von Imperva nehmen an, dass Social Engineering in Kombination mit bösartig präparierten Inseraten zum Einsatz kam. Denkbar sei etwa, dass der Link zu einer Website mit der bösartigen Werbung in einem Iframe in großen WeChat-Gruppenchats veröffentlicht wurde. So könnten die ahnungslosen Nutzer zum Besuch der Website gebracht worden sein – und solange sie sich dort aufhielten, wurden laufend Pings für den DDoS-Angriff erzeugt.

Angriffe mit Ping-Diensten sind nicht wirklich neu. So nutzten Angreifer etwa das Pingback-Feature in WordPress schon vor Jahren für DDoS-Angriffe. In einem Fall wurden innerhalb weniger Stunden Anfragen von über 162.000 verschiedenen und legitimen Sites gezählt, die an ein Angriffsziel geschickt wurden.

Während der jetzt in China beobachtete DDoS-Angriff mit Ping vor allem über den dort verbreiteten QQBrowser erfolgte, könnte laut Imperva jeder andere Webbrowser dafür ebenfalls ausgenutzt werden. „Schlimmer noch, die Browserhersteller unternehmen Schritte, die es für die Nutzer schwieriger machen, das Ping-Feature in ihrem Browser abzuschalten und damit eine unwissentliche Teilnahme an einer solche Attacke zu vermeiden“, kommentieren die Sicherheitsexperten.

Tatsächlich sollen neuere Versionen von Chrome, Safari, Microsoft Edge und Opera nicht länger erlauben, das Ping-Feature zu deaktivieren, das als Tracking-Funktion umstritten ist. In Firefox ist es bislang verfügbar, aber nicht standardmäßig aktiviert. Laut Bleeping Computer zieht inzwischen jedoch auch Mozilla in Erwägung, Ping in Firefox standardmäßig zu aktivieren. Das Feature weiterhin blockieren will der auf den Schutz der Privatsphäre ausgerichtete Browser Brave, der auf Chromium basiert.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago