SIT_Logo

Der Browser als Komplize

  • Autor: Jan Steffan
  • Gefahren für webbasierte Intranet-Anwendungen

    Gegen direkte Angriffe hilft die Firewall, und gegen indirekte? In jüngster Zeit beginnen Angreifer verstärkt, Server auf Umwegen anzugreifen. Der Besuch einer präparierten Webseite kann genügen, um einen JavaScript-fähigen Webbrowser in ein vielseitiges Angriffswerkzeug zu verwandeln. Die Sicherheitslücken sind zum Teil alt, doch erst jetzt werden sie ausgenutzt. Ob JavaScript, PDF, oder Flash, zahlreiche neue und alte Funktionen zur Unterstützung interaktiver Anwendungen stellen eine große Gefahr dar, insbesondere für webbasierte Intranet-Anwendungen, denn solche Angriffe können weder Firewalls noch Virenscanner verhindern.


    Webbasierte Anwendungen haben gegenüber konventionellen Client-Server Anwendungen vor allem den Vorteil zentraler Administrierbarkeit. Schließlich müssen Administratoren dabei an den Arbeitsplätzen keine spezialisierten Front-End Anwendungen installieren und pflegen. Es ist daher nicht verwunderlich, dass seit Jahren immer mehr Intranet-Anwendungen in Unternehmen und öffentlichen Stellen auf webbasierte Lösungen umgestellt werden.

    Das grundlegende Problem im Hinblick auf IT Sicherheit ist hierbei, dass die dem World-Wide-Web zu Grunde liegenden Technologien nicht als Basis für sicherheitskritische Anwendungen entwickelt wurden. Selbst elementare Sicherheitsmechanismen wie die Verwaltung von Benutzern, Berechtigungen und Sessions sind nicht vorhanden. Entwicklern webbasierter Anwendungen bleibt nichts anderes übrig, als diese Funktonen selbst nachzubilden. Die Mittel, die dazu zur Verfügung stehen, etwa Cookies und URL-Rewriting, sind dazu allerdings wenig geeignet.

    Insbesondere das Fehlen eines integrierten Session-Konzepts und einer klaren Trennung von Anwendungen hat fatale Folgen für die Sicherheit von Anwendungen. Ein Problem von dem fast alle webbasierten Anwendungen betroffen sind, ist Session Riding mittels Cross Site Request Forgery (CSRF). Diese Angriffstechnik wurde in Ausgabe 5/2006 der IT-Sicherheit auf Seite 27 bereits ausführlich beschrieben. Sie beruht darauf, dass der Webbrowser des Opfers beim Betrachten einer präparierten Webseite oder E-Mail zum Senden von Anfragen an eine interne webbasierte Anwendung veranlasst wird. Sofern die Anwendung Sessions an Cookies oder Client-Zertifikate bindet und das Opfer angemeldet ist, werden die von außen initiierten Anfragen innerhalb der Session des Opfers mit dessen Rechten ausgeführt.

    Das Ausspähen von Daten ist durch CSRF nicht ohne weiteres möglich. Den direkten Zugriff auf Inhalte und Cookies einer webbasierten Anwendung durch in fremden Webseiten enthaltenen JavaScript-Code soll die sogenannte Same-Origin Policy verhindern. Diese legt im wesentlichen fest, dass JavaScript-Code nur auf solche Seiteninhalte und Cookies zugreifen darf, die denselben Ursprung haben (genauer von der selben DNS-Domain mit dem selben Protokoll und vom selben TCP-Port stammen). Diese Barriere kann jedoch überwunden werden, sofern die Anwendung von einer Cross-Site-Scripting (XSS) Schwachstelle betroffen ist, was ebenfalls bei sehr vielen webbasierten Anwendungen der Fall ist. Vor allem solche Anwendungen, die nur für den Betrieb im Intranet gedacht sind, untersuchen Unternehmen oft nicht intensiv genug auf mögliche Schwachstellen.

    Darüber hinaus wurden in den letzten Monaten eine ganze Reihe von Schwachstellen in Webbrowsern und Zusatzkomponenten wie Adobe Flash bekannt, die ebenfalls ein Umgehen der Same-Origin Barriere erlaubten. Zuletzt wurde im Dezember eine Sicherheitslücke im Acrobat Reader veröffentlicht, die sämtliche Webseiten, die ein beliebiges PDF-Dokument zum Download anbieten, verwundbar macht. Zwar wurde für die meisten gefundenen Schwachstellen relativ schnell ein Patch bereitgestellt, es ist aber mit der Aufdeckung neuer Schwachstellen zu rechnen, da die Untersuchung dieses Themenbereichs unter Sicherheitsexperten gerade erst begonnen hat.

    Mit Hilfe dieser Angriffstechniken ist es möglich, eine webbasierte Anwendung mit den Rechten eines Anwenders im Intranet komplett von außen fernzusteuern. Mit Hilfe von fertigen XSS-Proxies ist dies inzwischen sehr einfach. Auch Port-Scanner wurden bereits in JavaScript implementiert, sowie Funktionen zum Ausspähen von Daten und Passwörtern aus Browser-internen Passwort- und Formularmanagern und der Zwischenablage. Firewalls bieten hier keinen Schutz, sofern nicht allen Benutzern im Intranet der Zugriff auf externe Webseiten verwehrt wird, was in den seltensten Fällen praktikabel ist. Potentiell gefährdet sind somit praktisch alle Anwender von webbasierten Anwendungen. Dazu gehören beispielsweise auch webbasierte Administrations-Schnittstellen von Kopierern, Routern und Überwachungskameras, Web-Mail Anwendungen und vieles mehr. Das Schadenspotential ist angesichts der über webbasierte Anwendungen zugänglichen Daten und Funktionen immens.

    Nichtsdestotrotz arbeiten Hersteller an Technologien, die noch wesentlich komplexere webbasierte Anwendungen ermöglichen sollen, so genannte Rich-Internet-Applications (RIA). Mit Adobe Apollo, Microsoft WPF und Mozilla XULruner sind gleich drei RIA Plattformen für 2007 angekündigt. Die Komplexität der Browser wird also weiter zunehmen. Es ist zu hoffen, dass bei diesen Neuentwicklungen der Fokus dabei nicht allein auf neuen Funktionen liegt, sondern auch Sicherheitsaspekte angemessen berücksichtigt werden.

    Recht gut geschützt ist im Moment nur, wer für Intranet-Anwendungen eine getrennte Browser-Installation oder ein eigenes Benutzerprofil verwendet, da hierdurch Cookies und Zertifikate, die der Authentisierung dienen vor dem Zugriff durch Web-Seiten aus dem Internet gut geschützt sind. In jedem Fall gilt aber die allgemeine Empfehlung: Wachsam sein und Sicherheitsupdates zeitnahe installieren.

  • Autor: Jan Steffan