Schwachstelle in Banken-Site ermöglichte unautorisierte Überweisung [Update]

Nach Cross Site Scripting (XSS) scheint sich nun Cross Site Request Forgery (CSRF) zur Epidemie zu entwickeln. Forscher der Princeton University haben im Rahmen einer Studie unter anderem bei der Direktbank ING eine derartige Lücke entdeckt, mit der sich unautorisierte Überweisungen vornehmen ließen. [Update]Möglich war dies unter anderem auch deshalb, weil es bei den meisten Banken in den USA neben der PIN oder einem Passwort keine zusätzliche Sicherung wie eine TAN gibt.[/Update]

Vermutlich handelt es sich hierbei um den ersten bekannt gewordenen Fall, bei dem solch ein Betrug mittels CSRF bei einer Bank möglich gewesen wäre. Die Lücke ist mittlerweile geschlossen. Grundlagen zum Thema Cross Site Request Forgery sind auch im Artikel "Dunkle Flecken - Neuartige Angriffe überrumpeln Webanwender" auf heise Security beschrieben.

Im Wesentlichen macht sich ein Angreifer beim dem auch als Session Riding bezeichneten Problem zunutze, dass ein Opfer etwa im Online-Banking-Bereich eines Instituts eingeloggt ist und parallel eine manipulierte Webseite ansurft. Dadurch, dass der Anwender respektive seine Session beispielsweise durch einen Cookie authentifiziert ist, kann eine andere Webseite beim Laden in den Browser des Opfers beliebige Requests an die Bankseite senden. Die Princeton-Forscher haben zudem noch CSRF-Lücken bei YouTube und MetaFilter entdeckt, die aber ebenfalls bereits beseitigt sind. Die New York Times hat eine gemeldete Schwachstelle indes noch nicht behoben.

Nicht nur größere Seiten haben Probleme mit CSRF. Aktuell gibt es Meldungen über derartige Probleme in den FTP-Servern (ftpd) unter OpenBSD, NetBSD, FreeBSD sowie ProFTPd und anderen.

Siehe dazu auch:

• Popular Websites Vulnerable to Cross-Site Request Forgery Attacks, Studie von Ed Felten and Bill Zeller
• multiple vendor ftpd - Cross-site request forgery, Fehlerbericht von SecurityReason
• tnftpd 20080929, Fehlerhinweis über tnftpd

(dab)