:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiko Security-Patches Trotz Patch ein mögliches Datenleck bei Facebook
Dass persönliche Daten von Facebook-Nutzern über eine Schwachstelle in Chrome abgreifbar waren, war eine der Schlagzeilen im Sommer des Jahres. Patch drauf, Gefahr gebannt, ist die übliche Vorgehensweise, aber dieses Mal entpuppte sich der Patch als Kuckucksei, denn die gestopfte Sicherheitslücke bedingte das nächste Datenleck.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Sicherheitsexperten von Imperva schauten nach dem Patch noch mal genauer hin, ob sich noch weitere Schlupflöcher zeigten, die man mit der entsprechenden kriminellen Energie ausnutzen könnte. Und tatsächlich: Was auftauchte, war ein Fehler, der es anderen Websites ermöglichen würde, private Informationen über Nutzer und ihre Kontakte abzuziehen. Zusammen mit dem Facebook Security Team machte sich Imperva daran, das Problem zu lösen. Schon während des Identifizierungsprozesses für das ursprüngliche Chrome-Problem wurden die Online-Suchergebnisse von Facebook untersucht. In deren HTML-Code zeigte sich, dass jedes Ergebnis ein iframe-Element enthielt, wahrscheinlich eingesetzt für das interne Tracking von Facebook. Zur Erläuterung: Mit dem iframe-Element kann eine weitere HTML-Seite in eine aktuelle Seite eingebunden werden. Mit dem Wissen um dieses besondere Cross-Origin-Verhalten von iframes entstand die folgende Vorgehensweise.
Für den Einstieg half ein Blick auf die Facebook Search Page. Der Endpunkt dort erwartet eine GET-Anfrage mit einer Reihe von Suchparametern. Der Endpunkt ist, wie die meisten Such-Endpunkte, nicht seitenübergreifend vor gefälschten Anfragen abgesichert (CSRF), so dass Benutzer die Suchergebnisseite normalerweise über eine URL teilen können. Dies ist in den meisten Fällen in Ordnung, da der Benutzer keine Aktionen durchführt, was diesen CSRF-Angriff von selbst bedeutungslos macht. Allerdings kommen iframes, im Gegensatz zu den meisten Web-Elementen, in Teilen mit Dokumenten anderer Seiten in Berührung. In der Kombination mit der CSRF-Suche lag hier das Problem.
Im Video zeigen die Security-Experten von Imperva, wie der Angriff ablaufen könnte.
So hätte ein Angriff verlaufen können
Damit dieser Angriff funktioniert, muss der Facebook-Benutzer dazu gebracht werden, die bösartige Website zu öffnen und irgendwo drauf zu klicken. Hier kann es sich um eine beliebige Website handeln, auf der sich JavaScript ausführen lässt. Über den Klick öffnet sich ein Popup oder eine neue Registerkarte auf der Facebook-Suchseite, auf der der Benutzer gezwungen wird, eine Suchanfrage auszuführen. Da die Anzahl der iframe-Elemente auf der Seite die Anzahl der Suchergebnisse widerspiegelt, lassen sie sich einfach durch Zugriff auf die Eigenschaft fb.frames.length zählen.
Durch die Manipulation der Grafiksuche von Facebook ist es möglich, Suchanfragen zu erstellen, die persönliche Informationen über den Benutzer widerspiegeln. Zum Beispiel kann man durch die Suche: "Seiten, die ich mag mit Namen `Imperva`", Facebook dazu zwingen, ein Ergebnis anzugeben, wenn dem Benutzer die Imperva-Seite gefällt, oder eben kein Ergebnis anzuzeigen, wenn dies nicht der Fall ist
Ähnliche Abfragen können erstellt werden, um Daten über die Freunde des Benutzers zu erhalten. Zum Beispiel kann die Suche nach "meinen Freunden, die Imperva mögen" zeigen, ob der aktuelle Benutzer Freunde hat, die die Imperva Facebook-Seite mögen.
Weitere interessante Beispiele für die Art der Daten, die extrahiert werden konnten:
- Überprüfen, ob die aktuellen Facebook-Nutzer Freunde aus Israel haben: https://www.facebook.com/search/me/friends/108099562543414/home-residents/intersect
- Überprüfen, ob der Benutzer Freunde namens "Ron" hat: https://www.facebook.com/search/str/ron/users-named/me/friends/intersect
- Überprüfen, ob der Benutzer an bestimmten Orten/Ländern Fotos gemacht hat: https://www.facebook.com/search/me/photos/108099562543414/photos-in/intersect
- Überprüfen, ob der aktuelle Benutzer islamische Freunde hat: https://www.facebook.com/search/me/friends/109523995740640/users-religious-view/intersect
- Überprüfen, ob der aktuelle Benutzer islamische Freunde hat, die in Großbritannien leben: https://www.facebook.com/search/me/friends/109523995740640/users-religious-view/106078429431815/residents/present/intersect
- Überprüfen, ob der aktuelle Benutzer einen Beitrag geschrieben hat, der einen bestimmten Text enthält: https://www.facebook.com/search/posts/?filters_rp_author=%7B%22name%22%3A%22author_me%22%2C%22args%22%3A%22%22%22%7D&q=cute%20puppies
- Überprüfen, ob die Freunde des aktuellen Benutzers einen Beitrag geschrieben haben, der einen bestimmten Text enthält: https://www.facebook.com/search/posts/?filters_rp_author=%7B%22name%22%3A%22author_friends%22%2C%22args%22%3A%22%22%22%7D&q=cute%20puppies
Dieser Vorgang kann wiederholt werden, ohne dass neue Popups oder Registerkarten geöffnet werden müssen. Denn der Angreifer kann durch den folgenden Code steuern, wo sich das Facebook-Fenster befindet:
Dies ist besonders gefährlich für mobile Benutzer, da die geöffnete Registerkarte leicht im Hintergrund verloren gehen kann. So kann der Angreifer die Ergebnisse für mehrere Abfragen extrahieren, während sich der Benutzer ein Video ansieht oder einen Artikel auf der Website des Angreifers liest.
Mit dieser erweiterten Fehlersuche konnte Imperva helfen, das potenzielle Schlupfloch zu stopfen, bevor größerer Schaden entstehen konnte.
Über den Autor: Ron Masas ist Security Researcher bei Imperva.
(ID:45637093)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951814/original.jpg "Imperva API Security sorgt für Durchblick in Legacy- und Cloud-nativen Umgebungen. (Imperva)")
:quality(80)/images.vogel.de/vogelonline/bdb/1912500/1912534/original.jpg "Der Weg zu militärischen Zielen führt oftmals über verbreitete Standardsoftware. (Vogel IT-Medien)")