Browser-Attacken immer trickreicher

Web-Angriffe verlagern sich vom Missbrauchen von Sicherheitslücken in Windows zur Nutzung von Schwachstellen im Browser sowie in dessen Plug-ins. Adobes Flash- und PDF-Betrachter sind unter den häufigsten Zielscheiben.

Robert "RSnake" Hansen demonstriert auf der Website ha.ckers.org, wie man mittels Javascript einen Download der Firefox-Erweiterung «Noscript» vortäuschen kann, dabei dem Opfer jedoch ein anderes Programm unterschiebt. Dazu zeigt die Demo-Seite zunächst einen Download-Button für Noscript an, der die entsprechende Seite auf der Mozilla-Website aufruft - mit SSL-Zertifikat und allem, was dazu gehört.

Eine Javascript-Funktion ersetzt dann diese URL nach zwei Sekunden durch die des einzuschleusenden Programms. Hansen benutzt in seiner Demonstration das umbenannte Noscript-Add-on - ein realer Angreifer würde versuchen seinem Opfer beispielsweise einen Key-Logger unterzuschieben. Er würde wohl auch eine Website mit einer dem Original sehr ähnlichen URL verwenden, damit der Trick nicht auffällt.

Dann könnte der betroffene User leicht übersehen, dass der Download nicht von «addons.mozilla.org» sondern von einer gefälschten Website wie «addons.mozilla.org.evil.com» erfolgen soll - und ihn brav erlauben. Der Trick funktioniert ganz ähnlich auch mit dem Internet Explorer.

Ein realer Angreifer würde potenziellen Opfern etwa ein vorgeblich erforderliches Multimedia-Plug-in zum Anzeigen eines Videos zum Download aufdrängen. Diese Masche benutzen Online-Kriminelle bereits seit Jahren - offenbar nach wie vor mit Erfolg.