Clickjacking: Gefahr für alle Web-Browser

[Dynamite]

Die IT-Security-Experten von SecTheory haben eine neue Sicherheitslücke entdeckt. Auf einer Konferenz wollten sie diese eigentlich vorstellen.

Der Auftritt wurde jedoch kurzfristig abgesagt. Die gefundene Sicherheitslücke ist scheinbar derart groß, dass sie im Falle einer Veröffentlichung jeden Browser treffen könnte. Dies erklärte Jeremiah Grossman in seinem Weblog. Bei der Bedrohung handelt es sich um Clickjacking, bei dem der Anwender anstelle eines echten Links einen unsichtbaren Verweis anklickt und dabei ohne es zu merken Schadcode auf dem Rechner ausführt.

IT-Sicherheitsforscher Robert Hansen empfiehlt zumindest Firefox-Nutzern das Plug-in No-Script. Dieses würde vor 99,99 Prozent aller möglichen Angriffsszenarien schützen. (dsc)

Download: Firefox-Erweiterung: No Script

Quelle: Chip.de

[Dynamite]

Clickjacking: Jeder Klick im Browser kann der falsche sein

Ein vermeintlich harmloser Klick im Web-Browser genügt, damit Kriminelle auf den PC zugreifen können. Der Flash-Entwickler Guy Aharonovsky hat eine Demo veröffentlicht, mit der Anwender unwissentlich die Einstellungen des Flash-Players verändern und Angreifern so Zugriff auf das Mikrofon und eine angeschlossene Webcam erlauben. Aharonosky macht sich dabei Schwächen in aktuellen Browsern und dem Flash Player Setting Manager von Adobe zunutze.

Um den Anwender zum Klick auf bestimmte Einstellungen zu bewegen, gaukelt er ein JavaScript-Spiel vor, bei dem ein Objekt angeklickt werden muss. Zwischenzeitlich schiebt er aber den in einem IFrame geöffneten Flash Player Setting Manager über die Veränderung des z-index in den Vordergrund beziehungsweise das Hauptfenster in den Hintergrund. Der IFrame bleibt jedoch unsichtbar, sodass der Anwender nicht merkt, dass er eigentlich in den Einstellungen des Flash Player herumgeklickt hat.

Adobe hat mittlerweile die Website für den "Flash Player Setting Manager" überarbeitet, sodass die Demo von Aharonovsky nicht mehr funktioniert. Ein Video auf YouTube führt das Problem aber vor. Das Abschalten von JavaScript würde laut Aharonovsky keine Abhilfe bringen, da sich der Angriff auch in Flash, Java, SilverLight und DHTML implementieren ließe.

Diese auch als "Clickjacking" oder "UI Redressing" bekannte Attacke stellt jedoch nur eine Instanziierung eines ganzen Problemkomplexes dar. Bereits Mitte September deuteten die Sicherheitsspezialisten Jereminah Grossmann und Robert "RSnake" Hansen an, dass eine ganze Reihe von Internet-Browsern und Websites für Clickjacking-Attacken anfällig seien, bei dem ein Angreifer den Anwender anstatt auf legitime Links "auf etwas kaum oder nur sehr kurz Sichtbares" klicken lasse. Ein für die OWASP-Konferenz geplanter Vortrag wurde kurzerhand abgesagt, da die entdeckten Schwachstellen derart schlimm seien, dass sie vor der Veröffentlichung einer Absprache mit den betroffenen Herstellern bedürfen.

Durch die Veröffentlichung von Aharonovsky, der nach eigenen Angaben erst durch Hansens und Grossmanns Andeutungen auf die Idee für seine Demo gekommen war, sind aber nun wesentliche Details bekannt. Hansen hat deshalb weitere Details zu Clickjacking-Attacken in seinem Blog beschrieben. Insgesamt zwölf Probleme in Flash, im Internet Explorer 8, im Plug-in NoScript und allgemein in Browsern und JavaScript zählt er auf. Nur die Schwachstellen im Flash Player Setting Manager und NoScript sind bislang behoben. Adobe gibt allgemeine Hinweise zur Eindämmung des Problems im Flash Player.

Daneben hat der israelische Spezialist für Browser-Sicherheit Aviv Raff eine Clickjacking-Demo veröffentlicht, bei der ein Anwender durch einen Klick in einer unverdächtigen Seite zu einem Follower von Raff im Kurznachrichtendienst Twitter wird.

Schutz gegen Clickjacking verspricht das Firefox-Plug-in NoScript in der Version 1.8.2.1. Die neue ClearClick-Funktion soll verborgene, durchsichtige oder anderweitig verschleierte Dialoge oder Frames beim Anklicken sichtbar machen. Der Anwender soll dann entscheiden können, ob er die Optionen im dargestellten Dialog wirklich aktivieren will oder nicht.

Quelle: Heise.de

[Dynamite]

Clickjacking für soziale Netze: Likejacking

Mehrere hundertausend Facebook-Anwender sollen am vergangenen Wochende einer Clickjacking-Attacke zum Opfer gefallen sein und auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt haben. Das berichtet der Antivirenhersteller Sophos in seinem Blog.

In der Folge des Klicks erschien auf Facebook die Statusmeldung (beispielsweise "User Noob likes LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.") für den jeweiligen Nutzer, die auch andere Anwender sehen können. Klickte ein weiterer Anwender auf den Status-Link auf Facebook, landete er ebenfalls auf der Clickjacking-Seite – Sophos vergleicht die Verbreitung der Links mit einem Wurm und nennt den Angriff deshalb auch Clickjacking-Wurm. Einen ähnlichen Angriff gab es schon Anfang 2009 auf Twitter.

Für die Attacke luden die bislang Unbekannten den Facebook-Like-Button in einem unsichtbaren iFrame nach. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickten Anwender jedoch auf Elemente in dem durchsichtigen iFrame. Betroffenen Anwendern empfiehlt Sophos, im Facebook-Profil die dubiosen Seiten aus dem eigenen Newsfeed zu löschen. Was genau der Sinn dieser Clickjacking-Attacke war, ist unklar. Prinzipiell könnten Kriminelle auf diese Weise sehr schnell Links zu präparierten Webseiten verteilen, die den Besuchern Trojaner unterschieben.

Verhindern lassen sich solche Attacken, indem der Webserver der vertrauenswürdigen Seite den Header-Zusatz: "X-FRAME-OPTIONS: DENY" an den Browser sendet, um zu verhindern, dass die Seite (unsichtbar) in einem Frame dargestellt wird. Diese Option beherrschen jedoch nur die neuesten Browser wie Internet Explorer 8, Safari 4 oder Chrome 2. Firefox soll den Mechanismus erst in einer kommenden Version mitbringen.

Zwar gibt es immer wieder Hinweise, dass stark frequentierte Seiten wie facebook.com, googlemail.com oder twitter.com inzwischen gegen Clickjacking geschützt sind. Allerdings hat sich dies in der Praxis bislang nicht bestätigt. Vielmehr versuchen viele (in iFrames ausgelieferte) Seiten, sich über JavaScript gegen Clickjacking zu wehren. Selbstschutz bietet das NoScript-Plug-in für Firefox mit seiner ClearClick-Funktion.

Quelle: Heise.de