Die Analysten von Context Information Security haben Sicherheitslücken in den Webbrowsern Internet Explorer, Chrome und Safari aufgezeigt. Diese ermöglichen Remote-Angriffe auf diebstahlgefährdete Daten auf privaten Microsoft SharePoint-Seiten sowie auf öffentlichen Websites wie LinkedIn. Im Rahmen dieser sogenannten Framesniffing-Attacken wird ein verborgener HTML-Frame verwendet, um die Zielseite in die schadhafte Webpage des Angreifers zu laden. Dort werden Informationen über den Inhalt und die Struktur der gezogenen Seite ausgelesen. Angriffe dieser Art umgehen die Sicherheitseinstellungen der Browser, die eigentlich Webseiten daran hindern sollen, dass die in Frames geladenen Inhalte durch Dritte gelesen werden können. „Durch Framesniffing können schadhafte Webpages Suchanfragen nach potenziell sensiblen Stichwörtern auf SharePoint-Servern stellen und feststellen, wie viele Ergebnisse für jede Anfrage gefunden werden“, erläutert Paul Stone, Senior Security Consultant bei Context. „Ist beispielsweise der Name eines Unternehmens bekannt, kann leicht herausgefunden werden, wer die Kunden oder Partner sind. Auf Basis dieser Informationen können Angreifer zunehmend komplexere Suchanfragen durchführen und zum Beispiel wertvolle wirtschaftliche Kennzahlen enthüllen.“ Auf seinem Blog zeigt Context in einem Video, wie die Framesniffing-Angriffe ablaufen und erklärt in fünf einfachen Schritten, wie sich die eigenen Websiten davor schützen lassen:http://www.contextis.com/research/blog/framesniffing
Die Sicherheitsexperten von Context haben SharePoint 2007 und 2010 getestet und herausgefunden, dass diese das „Framing“ nicht in der Grundeinstellung unterbinden. So senden sie die Titelzeile für die X-Frame-Optionen nicht an die Webbrowser, welche die Anwendungen sowohl vor Framesniffing als auch vor Clickjacking schützen würde. Die Folge ist, dass jede Website, welche die URL einer SharePoint-Installation kennt, diese in einen Frame laden und die Sicherheitsattacke ausführen kann – sogar wenn die Zielseite nur in einem Intranet zugänglich ist. In Folge dieser Entdeckung hat Context den Hersteller Microsoft kontaktiert. Die Antwort des Unternehmens: „Wir haben unsere eigenen Nachforschungen abgeschlossen und festgestellt, dass die Grundeinstellungen für die aktuellen Versionen von SharePoint gelten. Wir arbeiten daran, die X-Frame-Optionen in der nächsten Version im Standard zu aktivieren.“
Framesniffing kann auch für das Abgreifen vertraulicher Daten von öffentlichen Webseiten verwendet werden. Ein Beispiel ist das Business-Netzwerk LinkedIn, das keinen Schutz gegen Framing vorsieht. Über eine schadhafte Webpage können Angreifer Benutzerprofile der Besucher aufbauen. Dazu stellen sie Bruchstücke an Informationen zusammen, die verschiedene Websites durchsickern lassen. So können beispielsweise die Produkt-IDs von zuvor auf Einkaufsportalen gekauften Artikeln mit einer Nutzer-ID eines Besuchers von einem Sozialen Netzwerk kombiniert werden.
Die genaue Vorgehensweise von Framesniffing-Attacken zeigt Context auf seinem Blog in einem Video. Hier gewinnen Angreifer sensible Informationen aus einer fiktionalen betrieblichen SharePoint-Installation. Darüber hinaus erklären die Experten von Context in einer einfachen Schritt-für-Schritt Anleitung, wie eine Website vor Angriffen durch Hinzufügen der Titelzeile X-Frame-Options geschützt werden kann. Während Mozilla seinen Browser Firefox im vergangenen Jahr einem Update unterzogen hat, um Framesniffing zu verhindern, sind die letzten Versionen von Internet Explorer, Chrome und Safari nach wie vor angreifbar. „Wir sprechen die Anbieter der verschiedenen Webbrowser derzeit an, ihre Sicherheitsvorkehrungen zu erhöhen. Bis dahin ist jedoch jeder einzelne Website-Betreiber gefragt, seine Seite durch Hinzufügen der X-Frame-Optionen vor Framing zu schützen“, betont der Analyst Paul Stone.
Der Blog von Context Information Security ist unter folgendem Link zu erreichen:
www.contextis.com/research/blog/framesniffing/
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut – zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28, 1. Obergeschoss
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
www.contextis.de
technik@contextis.de
Pressekontakt:
Press’n’Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de