Google war kürzlich gezwungen, eine schwerwiegende Cross-Site-Scripting-Schwachstelle (XSS) auf Ihrem bevorzugten E-Mail-Service-Anbieter Gmail, zu patchen.
Die Schwachstelle bei Gmail wurde von einem ethischen Hacker, dem Chef-Sicherheitsforscher bei Securitum Michal Bentkowski, entdeckt. Die schwerwiegende Sicherheitslücke wurde in der Funktion „Accelerated Mobile Pages for Mail (AMP4Email)“ oder auch „Dynamic Mail“ genannt, gefunden.
AMP4Email ist strukturiert wie jede andere Webseite, die HTML-Tags verwendet. Das macht AMP4Email anfällig für XSS-Angriffe. Michal Bentkowski verwendete eine Technik, die als DOM Clobbering bezeichnet wird. Damit gelang es ihm, den Anti-XSS-Schutz von Gmail zu umgehen, um danach in der Lage zu sein, einen Angriff auf jede Organisation oder Einzelperson vorzunehmen.
Solche Cross-Site-Scripting-Angriffe kommen mittlerweile ziemlich häufig vor. Der XSS-Angriff ermöglicht es einem Hacker auf einfache Weise einen bösartigen Code in Ihrem Webbrowser auszuführen und einen Angriff, inklusive Einschleusen von Ransomware, zu starten.
Was ist Cross-Site Scripting?
Cross-Site-Scripting, kurz XSS (auf Deutsch Webseitenübergreifendes Skripting) genannt, ist ein Injektionsangriff, bei dem der Angreifer bösartige Skripte in eine vertrauenswürdige und legitime Webseite einschleust. Das XSS wird in diesem Fall verwendet, um ahnungslose Benutzer zu täuschen. Diese gehen davon aus, dass sie es mit legitimen Quellen oder Personen zu tun haben.
Wenn Ihr Webbrowser bösartige Skripte, die als vertrauenswürdige Quellen getarnt sind, nicht identifizieren kann, besteht ein hohes Risiko, Opfer eines XSS-Angriffs zu werden. Cyberkriminelle können dann auf alle browserbezogenen Informationen wie beispielsweise Cookies, gespeicherte Passwörter und Sitzungstoken zugreifen.
XXS-Angriffe geschehen auf zwei Arten:
- Wenn Sie Daten über eine nicht vertrauenswürdige Quelle in eine Web-App eingeben.
- Das heißt, im versendeten Inhalt enthaltene Daten, die an einen Endbenutzer gesendet werden, ohne dass zuvor überpüft wurde, ob bösartige Codes in den Daten vorhanden sind.
Diese Angriffe werden als gespeicherte oder reflektierte XSS-Angriffe klassifiziert. Ein gespeicherter XSS-Angriff tritt auf, wenn das bösartige Skript auf Ihrem Server gespeichert, und anschließend mittels einer Fehlermeldung vom Server reflektiert wird.
XSS-Angriffe finden meist über E-Mails oder Formulare auf Internetseiten statt. Der Angreifer trickst den Endbenutzer aus, um das bösartige Skript herunterzuladen oder darauf zuzugreifen. Das bösartige Skript wird dabei mit scheinbar harmlosen und legitimen Mitteln präsentiert.
Die Angriffe können auch als DOM XSS-Angriffe über JavaScript-Frameworks, Website-APIs oder Single-Page-Anwendungen erfolgen, die mit hackergesteuerten Daten ausgestattet sind, die dynamisch in die Daten einbezogen wurden. Das ist die Art von Schwachstelle, die ein Sicherheitsexperte kürzlich in Google Mail entdeckt hat.
Fazit
Das jüngste Patchen einer schwerwiegenden XSS-Schwachstelle in Gmail zeigt auf, wie Ransomware-Angriffe sogar auf einen der vertrauenswürdigsten E-Mail-Dienste der Welt erfolgen können.
Google ist dafür bekannt, mehrere Schutzmaßnahmen und Sicherheitsfilter in seinen Diensten zu haben, trotzdem kann die Tatsache, dass ein ethischer Hacker immer noch Schlupflöcher in Gmail nutzen konnte, um einen XSS-Exploit zu erstellen, nicht ignoriert werden. Auch Cyberkriminelle können ähnliche Exploits als Vektoren für Ransomware verwenden.
Es ist daher sehr wichtig, strenge Sicherheitsmaßnahmen nicht nur für Ihre Webinhalte, sondern auch für Ihre E-Mails zu ergreifen.
Stellen Sie sicher, dass Sie über angemessene Cybersicherheit-Tools wie beispielsweise eine zuverlässige Web Application Firewall und das Scannen von E-Mail-Anhängen auf bösartige Inhalte, verfügen.