Sicherheit von Browser-Erweitertungen: Die Gefahr von Plug-Ins abschwächen

Add-Ons und Plug-Ins spendieren Browsern mehr Funktionalität. Allerdings verursachen Sie auch Sicherheitsrisiken und sind Schlupflöcher für Angriffe.

Viele Anwender von Internet-Browsern schätzen die Annehmlichkeiten von Erweiterungen, wie zum Beispiel Add-Ons, Plug-Ins oder anderen Helfern. Diese zusätzlichen Programme verbessern zwar die Produktivität und erweitern die Funktionalität der Browser, sind aber auch ein Ziel von Cyberangriffen. In der Regel verschlafen viele Unternehmen, Plug-Ins zu patchen oder zu aktualisieren. Damit wird der Browser zum schwächsten Glied des Endgeräts. Viele Firmen verfolgen einen Patch-Zyklus für Endgerät-Umgebungen von zwei oder drei Monaten. Es gibt allerdings fortgeschrittene Exploit-Kits, die gezielt auf Browser-Erweiterung- und Plug-In-Sicherheitslücken getrimmt sind. Aus diesem Grund ist die oben angesprochene Update-Frequenz nicht ausreichend.

In diesem Beitrag befassen wir uns mit der wachsenden Anzahl von Browser-Erweiterungen. Dabei gehen wir sowohl auf die Popularität als auch die Funktionalität ein. Weiterhin erörtern wir die Bedrohungen für die gesamte Umgebung und wie sich diese abschwächen lässt.

Viele beliebte Add-Ons werden von anerkannten Herstellern entwickelt. Allerdings darf jeder Erweiterungen schreiben, so dass sie potentielle Tools für die Auslieferung von Schadcode oder Malware sind. In der Vergangenheit wurden bösartige Browser-Erweiterungen genutzt, um Anwender durch Klick-Angriffe auszutricksen. Dazu wurde sogenannte Rogue-Werbung auf Websites platziert oder Suchanfragen gekapert. Der Security-Experte Zoltan Balazs hat zum Beispiel eine Erweiterung entwickelt, die Websites modifiziert und Dateien herunterladen beziehungsweise auszuführen kann, um Anwender-Konten zu kapern und Zwei-Faktor-Authentifizierung zu umgehen. Wird ein Browser mit dieser Erweiterung infiltriert, kann man ihn ähnlich wie einen Botnet-Client kontrollieren. Die Erweiterung empfängt Anweisungen und schickt Informationen zum Angreifer zurück. Die Daten sehen wie normaler, vom Browser initiierter  HTTP-Traffic aus. Deswegen ist es für lokale und im Netzwerk befindliche Firewalls schwierig, diesen zu erkennen und zu blockieren.

Browser stellen Anwendern in der Regel eine gewisse Kontrolle bei der Erweiterungs-Berechtigung zur Verfügung. Allerdings haben die implementierten Zugriffs-Kontrollen viele Schwachstellen. Zusätzlich sind sich Anwender oft nicht über die Gefahren der Add-Ons bewusst und erlauben alles. Ein Plug-In ist nicht zwangsweise sicher, nur weil es in einer der offiziellen Erweiterungs-Galerien aufgelistet ist. Allerdings werden Erweiterungen vor der Aufnahme in die Listen geprüft. Dennoch sind bösartige Add-Ons, die gegen die Browser-Entwicklungs-Policies verstoßen, nicht unüblich. Erweiterungen für Safari, die in die Apple-Extension-Galerie aufgenommen werden, befinden sich an einem externen Ort. Mozilla Firefox erlaubt es Anwendern, Erweiterungen von Drittanbietern zu installieren.

Behalten Sie Folgendes im Kopf, wenn Sie überlegen, welche Erweiterungen Sie im Unternehmen erlauben: Worauf hat das Add-On Zugriff und wohin sendet es Daten? Erweiterungen für Google Chrome werden von Google nach Risiken eingestuft und Add-Ons für Windows sollen künftig nur noch über den Chrome Web Store hinzugefügt werden können. Dennoch sollten Administratoren ihre Hausaufgaben machen. Seien Sie Vorsichtig bei Erweiterungen, die folgende Funktionen haben:

  • Interaktion mit lokalen Dateien
  • Interaktion mit der Windows Registry
  • Interaktion mit Cookies
  • Zugriff auf Browser-Tabs oder Fenster
  • Befehle in der Benutzer-Umgebung ausführen

In einer Sandbox befindliche Plug-Ins sollten immer den Vorzug gegenüber Nicht-Sandbox-Erweiterungen haben. Letztere laufen mit den Berechtigungen des jeweiligen Anwenders und haben möglicherweise Zugriff auf das Dateisystem oder das Netzwerk. Fordert ein Plug-In erweiterten Zugriff, sollten Sie es nur dann erlauben, wenn es für das Unternehmen unbedingt notwendig ist.

Die automatische Update-Funktion sollte für Browser immer aktiviert sein. Allerdings aktualisiert dies nicht zwangsläufig alle Erweiterungen. Zum Beispiel spendiert Google Chrome dem Plug-In für Adobe Flash automatische Updates. Viele andere aktualisieren sich nur über die von der Herstellern zur Verfügung gestellten Installations-Assistenten. Veraltete Plug-Ins sollten Sie grundsätzlich nicht verwenden und deaktivieren. Damit tun Sie der Update- und Patching-Strategie einer Firma einen Gefallen. Unternehmen können auch die Benutzung eines Audit-Tools in Betracht ziehen. Beispiele sind Secunia CSI 7.0 oder Qualsys BrowserCheck. Diese scannen gebräuchliche Add-Ons und informieren Sie, ob diese ein Update benötigen.

Mittlerweile bemühen sich viele Browser-Anbieter, die Security von Erweiterungen zu verbessern. Chrome erlaubt zum Beispiel keine stille Installation von Add-Ons mehr. Es verhält sich ähnlich wie der geschützte Modus im Internet Explorer und die Add-On-Kontrolle von Mozilla Firefox. Auch hier sind keine stillen Installationen von Erweiterungen gestattet. In Umgebungen mit Active Directory, können Sie den Internet Explorer mit Group Policies umfangreich verwalten. Dazu gehört auch das aktivieren oder deaktivieren von ActiveX-Controls und die Beschränkung, welche Plug-Ins installiert oder ausgeführt werden dürfen. Mit FirefoxADM ist eine Verwaltung durch den Einsatz von Security-GPOs (Group Policy Objects) möglich. Chrome stellt Security-Templates zur Verfügung. Dennoch müssen Sie ein GPO manuell in eine Windows-Domäne implementieren.

Um das allgemeine Risiko abzuschwächen, empfiehlt sich ein Blacklisting aller Erweiterungen. Danach erstellen Sie selektiv eine Whitelist, um nur bestimmte Add-Ons zu erlauben. Wenn ein Unternehmen das Risiko-Profil reduzieren muss, sollten Sie die am häufigsten angegriffenen Plug-Ins durch Deinstallation komplett von alle Computern verbannen. Die Ausnahme ist, wenn Sie eine entsprechende Erweiterung unbedingt fürs Geschäft benötigen. Das gilt speziell für Java und den Adobe Reader. Firmen können Alternativen testen, wie zum Beispiel den in Firefox integrierten PDF-Reader.

Die von Erweiterungen ausgehenden Risiken sind real. Sowohl Unternehmen als auch Privatanwender sollten diese Bedrohungen ernst nehmen. Sicherheitsschulungen müssen klar herausstellen, dass Browser-Erweiterungen möglicherweise auf alle Bereiche im Browser Zugriff haben. Das gilt für Daten, Passwörter, besuchte Seiten oder den Verlauf. Erlauben Sie eine unkontrollierte Installation von Plug-Ins, erweitert das die Angriffsfläche des kompletten Netzwerks. Somit sind weitere Anwender und das Firmen-Netzwerk von Infizierungen und Datenverlust bedroht.

Über den Autor: Michael Cobb ist CISSP-ISSAP und ein bekannter Security-Autor mit über 20 Jahren Erfahrung. Zu seiner Leidenschaft gehört, Best Practises bezüglich IT-Security verständlich und begreifbar zu machen. Seine Website bietet freie Security-Poster an, um die Anwender auf die Gefahren und Datensicherheit im Unternehmen aufmerksam zu machen. Er war Co-Autor des Buches IIS Security und hat für viele führende IT-Publikationen Artikel verfasst. Mike war außerdem Microsoft Certified Database Manager und registrierter Consultant bei CLAS (CESG Listed Advisor Scheme).

Artikel wurde zuletzt im Dezember 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close