zurück zum Artikel

Googles Cloud-Anwendungsplattform App Engine bietet Kriminellen beim Generieren schädlicher Links viel Freiraum, den diese im Zuge aktiver Angriffe auskosten.

Sicherheitsforscher warnen davor, dass Online-Kriminelle die Cloud-Anwendungsplattform Google App Engine aktiv zum Hosten von Websites missbrauchen, auf denen schädliche Web-Apps lauern. Solche Apps würden etwa zum Phishing (z.B. über gefälschte Login-Formulare), aber auch zum Ausliefern weiterer Malware im Kontext von Command-and-Control-Infrastrukturen missbraucht.

Der Cloud-Service [1], der eigentlich für das Entwickeln und das anschließende Bereitstellen von Webanwendungen gedacht ist, umfasst ein Feature, das ihn für Gangster besonders attraktiv macht: Es ermöglicht ihnen das Generieren nahezu beliebig vieler gültiger Links im Kontext einer einzigen hinzugefügten App – und damit das unkomplizierte Austricksen von Blacklisting-Mechanismen.

Viele URLs für ein Projekt

Beim Anlegen jeder neuen App generiert Google App Engine eine neue appspot.com-Subdomain im Format

https://PROJECT_ID.REGION_ID.r.appspot.com

Dienste als Komponenten innerhalb der App bekommen später jeweils eine eigene appspot.com-Subdomain. Diese hat die Struktur

VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com

Die neue Subdomain kombiniert also die Version und den Namen des jeweiligen Dienstes mit den vordefinierten statischen IDs für Projekt und Region. Jede neue Version einer Projekt-Komponente bekommt eine entsprechend angepasste URL.

"Sanfter" Redirect zum Schadcode

Ein Blogeintrag des Sicherheitsforschers Marcel Afrahim [2] erläutert nun, dass Google App Engine URLs, die auf nicht vorhandene Versionen oder Services verweisen, dank eines "Soft-Routing"-Mechanismus anhand der statischen IDs stets zur ursprünglichen Subdomain des Projekts (PROJECT_ID.REGION_ID.r.appspot.com) – und damit auf eine vorab festlegbare Default-Version der App – umleitet. Dokumentiert ist dies auch im Abschnitt "Soft Routing" der App Engine-Dokumentation. [3]

Für Angreifer bedeutet dies, dass sie – unter Beibehaltung der korrekten IDs – automatisiert fast beliebig viele URLs für jede angelegte App generieren können. Afrahim nennt folgende Beispiel-URLs:

h**ps://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com h**ps://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com,

Beide verweisen aufgrund falscher Versions- und Dienstangaben wieder auf bad-app-2020.ue.r.appspot.com, wo immer dieselbe schädliche App lauert.

Forscher warnt vor Microsoft-Phishing

Klassische Sicherheits-Tools und -Plugins können diese Angriffsstrategie laut dem Blogeintrag für gewöhnlich nicht erkennen, sondern "sehen" lediglich die SSL-verschlüsselte Verbindung zur vermeintlich vertrauenswürdigen *.appspot.com-Subdomain.

Somit liegt es an den Nutzern, Links zu appspot.com-Subdomains, wie sie laut einem Tweet des Sicherheitsforschers Yusuke Osumi [4] derzeit etwa im Rahmen einer Microsoft-bezogenen Phishing-Kampagne im Umlauf sind, mit einer angemessenen Portion Misstrauen zu begegnen.

Lesen Sie auch

Phishing: Gefälschte Netflix-E-Mails im Umlauf

(ovw [5])

URL dieses Artikels:
https://www.heise.de/-4906593

Links in diesem Artikel:
[1] https://www.heise.de/thema/Cloud_Dienste
[2] https://medium.com/@marcelx/attackers-are-abusing-googles-app-engine-to-circumvent-enterprise-security-solutions-again-eda8345d531d
[3] https://cloud.google.com/appengine/docs/standard/python/how-requests-are-routed#soft_routing
[4] https://twitter.com/ozuma5119/status/1304965275960262657
[5] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2020 Heise Medien