24.11.2008 | Autor / Redakteur: Dirk Srocke / Stephan Augsten
Angreifer können Web-2.0-Techniken nutzen, um ans Internet angeschlossene Rechner Stück für Stück mit Schadcode zu infiltrieren. Die „Script Fragmentation“ genannte Technik funktioniert Browser-übergreifend und lässt sich von konventionellen Antivirenlösungen nicht entlarven.
Mit einer jetzt beschriebenen Taktik können Cyberkriminelle Antivirenlösungen an Gateways oder Desktops überlisten. Websense-Sicherheitsexperte Stephan Chenette hat dem US-Magazin eWeek geschildert, wie sich Exploits per Webbrowser einschleusen lassen.
Das als „Script Fragmentation“ bezeichnete Verfahren nutzt hierbei AJAX-Techniken. Ausgangspunkt ist ein unverdächtig wirkender Client-Code, der auf einer Webseite eingebettet wird. Ein Javascript könne dann stückchenweise Schadecode per XML External Data Representation (XDR) oder XMLHttpRequest (XHR) nachladen.
Die Daten werden dabei in solch kleinen Portionen übertragen, dass Signaturen herkömmlicher Antivirenlösungen die Informationen nicht als schädlich entlarven können. Das komplette Szenario findet zudem im Arbeitsspeicher des betroffenen Speichers statt, Festplattenzugriffe sind nicht nötig.
Empfangener Schadcode wird in einer Javascript-Variable gespeichert. Mit weiteren Operationen lässt sich daraus ein Script konstruieren und ins Document Object Model einbinden.
Das Verfahren soll Browser-übergreifend funktionieren, bislang sind jedoch noch keine Exploits in freier Wildbahn bekannt. Eine naheliegende Vorsichtsmaßnahme wäre, Javascript zu deaktivieren.
Chenette hält diesen Ansatz in einer Web-2.0-Welt allerdings nicht für sonderlich pragmatisch, da fast alle führenden Web-Angebote Javascript voraussetzen. Stattdessen seien Sicherheitsanbieter gefragt, bestehende Schutzkonzepte zu hinterfragen und anzupassen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2018027)
