computerwoche.de

Security

Black Hat: Web-Browser-Attacke umgeht Firmen-Firewall

02.08.2007
Nach den Darbietungen eines Sicherheitsexperten auf der US-Sicherheitskonferenz "Black Hat" müssen sich IT-Verantwortliche mit einem rund zehn Jahre alten Sicherheitsproblem im Zusammenspiel von Browser-Software und dem Domain Name System (DNS) des Internets erneut auseinandersetzen.

Security-Experte Dan Kaminsky zeigte auf dem aktuellen Hacker-Event Black Hat im amerikanischen Spielerparadies Las Vegas, wie sich eine Schwachstelle im Zusammenspiel zwischen Browser und DNS ausnutzen lässt, um Zugang zu jeglichen, hinter der Firmen-Firewall befindlichen Ressourcen zu erlangen. Hierzu beschrieb Kaminsky, Director des auf Penetrationstests spezialisierten Sicherheitsunternehmens IO Active, einen mehrstufigen Angriff, durch den sich Firmennetze nach Daten oder Schwachstellen scannen lassen. Dreh- und Angelpunkt der Darbietung war allerdings eine aus dem Jahr 1996 stammende Analyse der Princeton University. Darin schildern Wissenschaftler, wie ein Java-Applet den Zugriff auf Systeme im Netz des Opfers ermöglicht.

Laut Kaminsky liegt das alt bekannte, aber wieder aktuelle Problem in der Art und Weise, wie Browser-Software über die Vertrauenswürdigkeit von Systemen entscheidet. Diese Entscheidung basiere auf dem Internet-Domain-Namen des Computers – allerdings ließen sich DNS-Informationen missbrauchen, so der Spezialist. So werde angenommen, dass sich ein Wert nicht verändere. "Ein Angreifer kann ihn jedoch zu jedem beliebigen Zeitpunkt verändern", gibt der Experte zu bedenken.

Kaminsky demonstrierte im Rahmen seiner Präsentation, wie eine bösartige Web-Seite mit dem Browser interagieren kann und – nach einem komplexen Hin- und Her von Datenanforderungen – letztendlich Zugriff auf andere Ressourcen im Netz der Surfers erlangt. Angreifer könnten auf diesem Weg im Prinzip auf jede Ressource zugreifen, die auch dem Opfer, das den Browser nutzt, zur Verfügung stehen. Details zu der Attacke will der Security-Spezialist im Lauf dieser Woche auf seiner Web-Seite zur Verfügung stellen.

In Kaminskys Szenario würde ein potenzieller Angreifer einen Proxy-Server verwenden. Dieser würde Daten an den Browser schicken und diesen schließlich mittels Adobe Systems Flash-Multimedia-Software dazu bewegen, der Web-Seite so zu vertrauen, als handle es sich dabei um eine lokale Netzressource - etwa einen Drucker.

Auch andere Security-Forscher haben übers Jahr wiederholt gewarnt, wie Fehler im Sicherheitsmodell von Internet-Applikationen Hackern den Weg zu PC-Ressourcen oder vom Opfer besuchten Websites ebnen können. Im Februar beispielsweise zeigte Security-Experte Robert Hansen, wie sich Kriminelle mit Hilfe einer auf den Namen "Anti-DNS Pinning" getauften DNS-Attacke Zugriff auf von Google Desktop indizierte Daten verschaffen können. Seiner Ansicht nach handelte es sich bei Kaminskys Black-Hat-Darbietungen zwar nicht um bislang unentdeckte Schwachstellen, wohl aber um "eine der coolsten Implementierungen" dieser Angriffsgattung. (kf)