Hacker können sehr kreativ und findig sein. Immer öfter spüren sie Schwachstellen und Sicherheitslücken auf. Bevorzugt zielen sie dabei auf größere Unternehmen und Institutionen ab. Der bekannte Antiviren-Software-Anbieter Avira ist wahrscheinlich fortlaufend gegen Attacken auf der Hut, aber auch ihn hat es nun getroffen.
Der ägyptische Sicherheitsberater für Informationstechnologie, Ebrahim Hegazy (Zigoo), hat eine XSS-Schwachstelle in der Avira Daemon Lizenz gefunden (license.avira.com). Über ein Cross-Site-Scripting hat Hegazy dies realisiert und zeigt dies in einem Video.
Cross-Site-Scripting-Schwachstellen werden irrtümlich als unwichtig betrachtet, aber sie könnten Angreifern erlauben, client-seitige Skripte von Opfern besuchten Webseiten zu infizieren.
Eine Cross-Site-Scripting (XSS) Schwachstelle kann von Hackern ausgenutzt werden, um Zugriffskontrollen, die gewisse Ausnahmen überschreiten, zu umgehen.
Aber anstatt es auf die übliche Weise mit “alert (‘MyName’)” zu versuchen und dann zu berichten, beschloss er, es dem Avira Security Team aufzuzeigen. Nur in einem anderen Modus und dem Zweck, zu veranschaulichen, wie es eine XSS-Schwachstelle Hackern erlauben könnte, Benutzerkonten mit reinen Text-Daten zu auszulesen.
Um diesen Angriff zu demonstrieren, hat er vier Dateien erstellt:
- avira.html – die gefälschte Login-Seite
- log.php – protokolliert die Anmeldeinformationen in einer txt-Datei
- avira.txt – die Anmeldeinformationen finden Sie hier
- done.html – zeigt eine positive Bestätigungsmeldung, um die Nutzer zu täuschen
Video zur Erklärung der Angriffsmethodik:
Nach Ebrahim Hegazys Bericht reagierte das Avira-Team umgehend und behob den Fehler in kurzer Zeit. Diejenigen, die XSS-Schwachstellen als Sicherheitslücke mit niedrigem Ausmaß betrachtet, werden nun eines Besseren belehrt.
Info: Ebrahim Hegazy ist ein Sicherheitsberater der Starware Group, anerkannt von Google, Microsoft und Ebay mit dem Auftrag, multiple Schwachstellen in ihren Anwendungen zu entdecken und zu reporten.