Thema: Clickjacking-Angriffe diverses

[SiLæncer]

Eine vom Sicherheitsspezialisten Aditya K Sood veröffentlichte Demo zeigt einmal mehr, dass die Browserhersteller immer noch keine Abhilfe gegen die im vergangenen Jahr als Clickjacking bekannt gewordenen Angriffsmethode gefunden haben. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente im iFrame, beispielsweise Buttons in Weboberflächen auf Routern, die Einstellungen verändern oder Aktionen starten.

So ähnlich arbeitete auch Soods Demo, die eigentlich nur zeigen sollte, dass der Google-Browser Chrome für Click-Jacking verwundbar ist. Sie funktioniert aber auch mit der aktuellen Versionen von Firefox. Die Demo führt vor, wie der Browser beim Schweben des Mauszeigers über einem Link in der Statusleiste zwar zunächst die richtige URL anzeigt, im vorliegenden Fall yahoo.com, der Klick dann allerdings die Cross-Site-Scripting-Datenbank xxsed.com aufruft. Phisher könnten dies für ihre Zwecke ausnutzen.

Die im Firefox-Plug-in NoScript implementierte Anti-Clickjacking-Funktion ClearClick wehrte den Angriff in einem kurzen Test der heise-Security-Redaktion ab, sodass der Browser wie gewünscht yahoo.com aufrief. Allerdings warnte NoScript nicht vor dem Angriff.

Grundsätzlich ist auch der Internet Explorer für Clickjacking anfällig, Soods Demo funktioniert hier jedoch nicht. Microsoft plant immerhin in Version 8 des Internet Explorer eine Anti-Clickjacking-Funktion einzuführen – im Release Candidate ist sie bereits vorhanden. Allerdings handelt es sich nach Aussagen von Browserspezialisten eher um einen passiven Schutz, der darauf vertraut, dass Webseiten-Entwickler einen bestimmten Header an den Browser senden, um den Clickjacking-Missbrauch von Buttons zu verhindern.

Laut Giorgio Maone, dem Entwickler von NoScript, handelt es sich dabei um den Header-Zusatz:"X-FRAME-OPTIONS: DENY". Solange eine Seite dies nicht signalisiert, arbeitet der Schutz nicht. Da nicht damit zu rechnen ist, dass demnächst alle Betreiber von Webservern oder Entwickler von Weboberflächen den proprietären Header mitsenden, ist die Anti-Clickjacking-Funktion im Internet Explorer 8 nutzlos.

Siehe dazu auch:

    * Clickjacking: Jeder Klick im Browser kann der falsche sein

Quelle : www.heise.de

[SiLæncer]

Microsofts Internet Explorer 8 RC1 soll der erste Browser mit eingebautem Schutzmechanismus gegen Clickjacking-Angriffe sein. Tatsächlich kann der Schutz nur wirken, wenn Website-Betreiber ihre Seiten gezielt verändern.

Microsoft hat in dieser Woche eine erste Vorabversion des neuen Internet Explorer 8 bereit gestellt, die das Beta-Teststadium hinter sich lässt. Mit dem IE 8 RC1 (Release Candidate 1) hat Microsoft auch verschiedene Sicherheitsfunktionen implementiert, darunter den so genannten "InPrivate"-Modus. Außerdem soll der IE 8 der erste Browser mit einem Schutz vor so genannten "Clickjacking"-Angriffen sein. Die Microsoft-Lösung schützt allerdings solange nicht, wie der Betreiber einer potenziell gefährdeten Website diesen Schutz nicht explizit anfordert.

Von Clickjacking, dem Entführen von Mausklicks, spricht man, wenn etwa eine Schaltfläche innerhalb einer Web-Seite durch ein transparentes Element überlagert wird, das den Mausklick umleitet. So kann etwa ein "Abbrechen"-Knopf mit einem nicht sichtbaren "Ausführen"-Knopf überlagert sein. Der bewirkt womöglich das Gegenteil von dem, was Besucher der Web-Seite erwarten.

Ein Angriffsszenario entsteht dadurch, dass dieses zweite Element durch eine Fremdmanipulation eingefügt wird. Ein denkbares Szenario ist das Anzeigen einer Web-Seite innerhalb eines fremdem Framesets. Vom dem Frameset aus sind Manipulationen möglich ohne den Quelltext der Web-Seite zu verändern, man spricht von CSRF-Angriffen (Cross-Site Request Forgery). So kann etwa auch der komplette Inhalt der Web-Seite von anderen Inhalten verdeckt werden, nur der "Abschicken"-Knopf bleibt frei. Der Besucher wird über die wahre Natur der ausgelösten Aktion getäuscht.

Genau dieses Szenario will Microsoft mit dem IE 8 entschärft haben. Betreiber einer Website können in die Antwort an den Browser (den so genannten Response Header) eine Zeile namens "X-FRAME-OPTIONS" einfügen. Wird dieser Variablen der Wert "DENY" (verweigern) zugewiesen, stellt der IE 8 die Web-Seite nicht in einem Frameset dar. Weist man ihr den Wert "SAMEORIGIN" (gleicher Ursprung) zu, bleiben Framesets desselben Servers unangetastet, in einem fremden Frameset wird die Seite hingegen nicht angezeigt. Stattdessen zeigt der IE 8 eine Fehlerseite an, die den Benutzer informieren soll.

Microsoft-Manager Eric Lawrence erklärt dazu im IE Blog, Microsoft habe dieses Verfahren auch den anderen Browser-Herstellern vorgeschlagen und hoffe, diese würden es ebenfalls implementieren. Die Entdecker der Clickjacking-Angriffe sehen dieses Verfahren hingegen als völlig unzureichend an, so etwa Robert Hansen von SecTheory. Es behandele nur einen Teilaspekt des Problems und es würde Jahre dauern, bis sich das Verfahren auf breiter Front durchsetzen könnte. Jeremiah Grossman von White Hat Security kritisiert, dass Anwender damit keine Möglichkeit in die Hand bekämen sich zu schützen, sich aber fälschlich für geschützt halten könnten.

Bislang bringt noch kein Browser einen serienmäßigen Schutz vor Clickjacking mit. Nutzer des IE 8 sind lediglich im Einzelfall geschützt, sofern der Betreiber einer Website seinen Code entsprechend geändert hat. Firefox-Nutzer können die kostenlose Erweiterung NoScript verwenden, die einen aktiven Clickjacking-Schutz namens "ClearClick" enthält. NoScript-Entwickler Giorgio Maone will seine Erweiterung zu der Microsoft-Idee kompatibel machen und sich dafür einsetzen, dass auch Firefox diesen "X-Frame-Header" in einer zukünftigen Version unterstützt.

Quelle : www.pcwelt.de

[SiLæncer]

Eine neue Demo zeigt, dass Browser-Hersteller immer noch keinen wirksamen Schutz vor sogenannten Clickjacking-Angriffen gefunden haben. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite, beispielsweise Buttons in Weboberflächen.

Die nun veröffentlichte Demo des Israelis Narkolayev Shlomi führt das Problem eindrucksvoll für Facebook vor: In der Annahme auf einer Webseite einen harmlosen Link zu klicken, fügt der Klick statt dessen eine App zum Facebook-Konto hinzu. Dazu muss das Opfer zwar bereits an Facebook angemeldet sein, das ist aber kein seltenes Szenario.

Ähnliche Angriffe gab es im letzten Jahr beispielsweise auch auf Twitter. Derartige Clickjacking-Attacken ähneln zwar von der Auswirkung Cross-Site-Request-Forgery-Attacken (XSRF). Es handelt sie aber um grundsätzlich verschiedene Methoden (siehe dazu Details über XSRF). Clickjacking lässt sich nicht so ohne weiteres unterbinden. Bei XSRF genügt es, dass der Server ein nicht erratbares, nutzerbezogenes Token in die URL einbettet, um Angriffe generell unwirksam zu machen. Bei Clickjacking-Attacken funktioniert dies durch Servereinstellungen nicht.

US-Medienberichten zufolge will Facebook gegen derartige Angriff mit Blacklists vorgehen, um die Verbreitung von Links zu präparierten Webseiten im eigenen System zu verhindern. Das löst das eigentliche Problem jedoch nicht. Grundsätzlich sind viele andere Webseiten und Anwender von dem seit nunmehr über einem Jahr bekannten Clickjacking-Problem betroffen.

Unter Firefox erkennt das NoScript -Plug-in Clickjacking-Angriffe und verhindert sie mit seinem ClearClick-Schutz. Grundsätzlich ist auch der Internet Explorer für Clickjacking anfällig. Microsoft hat jedoch in Version 8 des Internet Explorer eine Anti-Clickjacking-Funktion eingeführt, die allerdings nur passiv arbeitet. Der Webserver der vertrauenswürdigen Seite muss den Header-Zusatz:"X-FRAME-OPTIONS: DENY" an den Browser senden, um zu verhindern, dass die Seite in einem Frame dargestellt wird. Damit lässt sich sich dann auch nicht mehr (unsichtbar/durchsichtig) unter die präparierte Webseiten "schieben".

Solange eine Seite dies nicht signalisiert, arbeitet der Schutz jedoch nicht. Wieviele Betreiber von Webservern oder Entwickler von Weboberflächen bereits den proprietären Header mitsenden, ist unbekannt. 

Quelle : www.heise.de

[SiLæncer]

Der britische IT-Sicherheitsexperte Paul Stone hat auf der Hackerkonferenz Black Hat eine neue Generation sogenannter Clickjacking-Attacken demonstriert. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite, beispielsweise Buttons in Oberflächen auf anderen Webseiten.

Stones Demos beschränken sich jedoch nicht auf Klicks, er kann auch Texte in Formulare eingeben oder im Browser des Opfers geöffnete Dokumente oder Quell-Texte auslesen. Stone macht sich dazu die Drag-and-Drop-API moderner Browser wie Interner Explorer, Firefox, Chrome oder Safari zunutze. Anstatt das Opfer auf eine bestimmte Stelle klicken zu lassen, lässt Stone den Anwender Objekte oder Texte aus dem sichtbaren Fenster in das unsichtbare iFrame ziehen.

Relevant kann das beispielsweise werden, wenn man bereits auf einer Webseite eines sozialen Netzwerkes eingeloggt ist und sich im unsichtbaren Frame eine weitere Seite des Netzwerkes öffnet, in die man dann unbewusst Inhalte platziert. Die Same Origin Policy der Browser schlägt in diesem Fall laut Stone nicht an, da die Elemente ja durch Zutun des Anwenders von einer Site zur nächsten wandern. So umgeht Stone ebenfalls Einschränkungen, die beispielsweise Cross-Site-Request-Forgery-Attacken verhindern sollen.

Umgekehrt lässt sich Drag&Drop benutzen, um Inhalte aus einem geöffnetem Fenster in das unsichtbare Fenster des Angreifers zu kopieren respektive zu ziehen. Damit lassen sich laut Stone prinzipiell auch Quelltexte einer Webseite auslesen, in denen beispielsweise eine Session-ID oder ein Token zur Authentifizierung enthalten sind. Angreifer könnten so eine ganze Sitzung übernehmen.

Noch raffinierter werden die Attacken, sobald Java und JavaScript ins Spiel kommen. Die Drag-and-Drop-API von Java ist laut Stone leistungsfähiger als die der Browser. So kann der Angreifer beispielsweise auf das Markieren von Text (Drag) mit der Maus verzichten. Stattdessen genügt beim Einsatz von Java ein simpler Mausklick. Kombiniert man den Angriff noch mit JavaScript, kann der Drag-Befehl jederzeit gegeben werden – auch wenn der Mauszeiger gar nicht über dem Java-Applet ruht oder der Anwender die linke Maustaste gedrückt hat.

Auch das zuvor beschriebene Ausfüllen eines Formulars lässt sich dank Java erheblich beschleunigen: Anstatt pro auszufüllendem Feld auf eine Mausbewegung und einen Klick zu warten, soll der Angreifer alle Felder in einem Aufwasch ausfüllen lassen können. Dieses sogenannte Spraying funktioniert unter Windows und Mac OS X, nicht jedoch unter Linux.

Verhindern lassen sich solche Attacken, indem der Webserver der vertrauenswürdigen Seite den Header-Zusatz: "X-FRAME-OPTIONS: DENY" an den Browser sendet, um zu verhindern, dass die Seite (unsichtbar) in einem Frame dargestellt wird. Diese Option beherrschen jedoch nur die neuesten Browser wie Internet Explorer 8, Safari 4 oder Chrome 2. Firefox wird den Mechanismus erst in einer kommenden Version mitbringen. Stone weist darauf hin, dass stark frequentierte Seiten wie facebook.com, googlemail.com oder twitter.com inzwischen gegen Clickjacking geschützt sind. Das gilt dem Experten zu Folge aber nicht für die mobilen, also auf Smartphones optimierte Versionen der Seiten.

Damit Web-Entwickler die Arbeitsweise von Clickjacking-Angriffen besser nachvollziehen können, hat Paul Stone ein Tool veröffentlicht, dass die Arbeitsweise mehrerer derartiger alter und neuer Attacken anhand der eigenen Webseite demonstrieren kann.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsforscher Luca de Fulgentis demonstriert in seinem Blog, dass populäre Webdienste unzureichend vor Clickjacking-Angriffen geschützt sind. Dabei wäre dies durch den konsequenten Einsatz des HTTP-Headers X-Frame-Options denkbar einfach. Der Forscher entwickelte Proof-of-Concepts, die durch Clickjacking in Kombination mit Drag&Drop Nutzerdaten von den betroffenen Seiten extrahieren. Ein vergleichbarer Angriff wurde bereits 2010 demonstriert.

Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame über Buttons. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente der Seite im unsichtbaren iFrame. In Kombination mit der Drag&Drop-API moderner Browser kann ein Nutzer auf diesem Weg dazu verführt werden Objekte oder Texte aus dem unsichtbaren iFrame in einen Bereich der manipulierten Seite zu ziehen, den der Angreifer auslesen kann.

Der ganze Artikel

Quelle : www.heise.de