Nach den Darbietungen der beiden namhaften Sicherheitsforscher Jeremiah Grossmann und Robert Hansen auf dem aktuellen US-Hacker-Event in Las Vegas ist es aufgrund neuer technischer Erkenntnisse leicht möglich, Intranets zu infiltrieren und anzugreifen. Grossmann, Gründer und CTO des auf Schwachstellentests spezialisierten Unternehmens WhiteHat Security, rechnet innerhalb der kommenden 18 Monate damit, dass Hacker die Forschungsgemeinde diesbezüglich eingeholt haben und die neuen Taktiken verstärkt in der Praxis anwenden werden. "Im Grunde verhält es sich mit diesen Angriffen so, als gebe es keine Firewall", warnt der Experte. Aus diesem Grund sei es für Firmen höchste Zeit, ihre internen URLs zu überprüfen und neu zu überarbeiten.
Nach den Ausführungen der beiden Web-Applikations-Tester rechnen Unternehmen meist nicht damit, dass Hacker in ihre Intranets eindringen können. Mit Hilfe aufkommender Angriffstechniken wie Cross-Site Request Forgery (CSRF) könnten gerissene Angreifer jedoch Links zu Firmen-Sites finden, die es ihnen ermöglichten, in vermeintlich sichere Internet-Sessions einzubrechen und heimlich Passwörter und Informationen zur Browser-Historie abzugreifen.
Bei CRSF-Attacken versuchen Hacker in der Regel ähnlich wie beim traditionellen Phishing oder bei Cross-Site-Scripting-Angriffen (XSS), den Endanwender zum Laden einer mit einer bösartigen Anfrage versehenen Web-Seite zu bewegen. Dann missbrauchen die Übeltäter Identität und Rechte des Opfers, um etwa ihre Applikations-Passwörter zu ändern und auf diese Weise Zugriff auf das Intranet oder Banken-Sites zu erlangen beziehungsweise sich in E-Commerce-Sites einzuloggen und dort unter dem Namen des Opfers Einkäufe zu tätigen.
Laut Grossmann werden CRSF- und XSS-Attacken meist kombiniert durchgeführt, um Geld von Online-Konten zu stehlen. Angesichts seiner Recherchen im Hinblick auf firmeninterne Intranets rechnet der Experte damit, dass sich diese Angriffstechniken in naher Zukunft zur echten Bedrohung auswachsen dürften. Hacker könnten damit im Prinzip auf vorangegangene Web-Bowser-Sessions zugreifen und auf jeder vom Endanwender besuchten Site eingeloggt bleiben, um ihre illegalen Aktivitäten auszuführen. Dazu gehörten auch Sites, die Zugriff auf sensible Firmendaten gewähren.
Als eine weitere Methode, unschwer in Firmen-Intranets einzudringen, führten die Experten Cross-Site-Scripting-Attacken an, die den Traffic von vertrauenswürdigen Seiten wie Online-Banking-Applikationen spiegeln, da dieser mit hoher Wahrscheinlichkeit nicht geblockt werde.
Firmen messen bei der Entwicklung ihrer Intranets dem Sicherheits-Testing nicht die gleiche Bedeutung bei wie bei ihren öffentlich verfügbaren URLs, kritisieren die Forscher. Irrtümlicherweise gingen sie davon aus, dass nur bestimmte IP-Adressen auf ihre Sites zugreifen könnten, berichtet Hansen von der Sicherheitsberatungsunternehmen SecTheory. "Mit Hilfe dieser Angriffstechniken kann der Browser aber überall hingehen - wodurch das Filtern von IP-Adressen als Schutzmechanismus nutzlos wird." Dabei könnten Angreifer den Browser als Proxy verwenden, um Zugriff auf Internet-Applikationen zu erlangen. VPN-Systeme für mobile Mitarbeiter stellten ein weiteres attraktives Einfallstor dar, so der Spezialist.
Um sich zu schützen, müssten Unternehmen ihre internen Sites ebenso sorgfältig absichern wie ihre externen Web-Seiten. Letztere sollten dabei keinerlei Zugriff auf das Intranet erhalten – ein weiteres verbreitetes Mittel, mit dem sich Hacker Zugang zu Firmensystemen verschafften.
"Innerhalb der kommenden zwei Jahre wird es Tools geben, die diese Art von Attacken erleichtern – was viele Hacker dazu inspirieren wird, das auszuprobieren", prognostiziert sein Kollege Grossmann. Zwar habe es diese Browser-Schwachstellen schon immer gegeben, im Prinzip seien auch diese Attacken stets möglich gewesen. Nur habe bislang niemand davon gewusst. "Was die Übeltäter heute damit anstellen, ist nur die Spitze des Eisbergs", statuiert der Sicherheitsspezialist. (kf)