Google App Engine: Redirect-Feature begünstigt Phishing und Malware-Verbreitung
Googles Cloud-Anwendungsplattform App Engine bietet Kriminellen beim Generieren schädlicher Links viel Freiraum, den diese im Zuge aktiver Angriffe auskosten.
Sicherheitsforscher warnen davor, dass Online-Kriminelle die Cloud-Anwendungsplattform Google App Engine aktiv zum Hosten von Websites missbrauchen, auf denen schädliche Web-Apps lauern. Solche Apps würden etwa zum Phishing (z.B. über gefälschte Login-Formulare), aber auch zum Ausliefern weiterer Malware im Kontext von Command-and-Control-Infrastrukturen missbraucht.
Der Cloud-Service, der eigentlich für das Entwickeln und das anschließende Bereitstellen von Webanwendungen gedacht ist, umfasst ein Feature, das ihn für Gangster besonders attraktiv macht: Es ermöglicht ihnen das Generieren nahezu beliebig vieler gültiger Links im Kontext einer einzigen hinzugefügten App – und damit das unkomplizierte Austricksen von Blacklisting-Mechanismen.
Viele URLs für ein Projekt
Beim Anlegen jeder neuen App generiert Google App Engine eine neue appspot.com-Subdomain im Format
https://PROJECT_ID.REGION_ID.r.appspot.com
Dienste als Komponenten innerhalb der App bekommen später jeweils eine eigene appspot.com-Subdomain. Diese hat die Struktur
VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com
Die neue Subdomain kombiniert also die Version und den Namen des jeweiligen Dienstes mit den vordefinierten statischen IDs für Projekt und Region. Jede neue Version einer Projekt-Komponente bekommt eine entsprechend angepasste URL.
"Sanfter" Redirect zum Schadcode
Ein Blogeintrag des Sicherheitsforschers Marcel Afrahim erläutert nun, dass Google App Engine URLs, die auf nicht vorhandene Versionen oder Services verweisen, dank eines "Soft-Routing"-Mechanismus anhand der statischen IDs stets zur ursprünglichen Subdomain des Projekts (PROJECT_ID.REGION_ID.r.appspot.com) – und damit auf eine vorab festlegbare Default-Version der App – umleitet. Dokumentiert ist dies auch im Abschnitt "Soft Routing" der App Engine-Dokumentation.
Für Angreifer bedeutet dies, dass sie – unter Beibehaltung der korrekten IDs – automatisiert fast beliebig viele URLs für jede angelegte App generieren können. Afrahim nennt folgende Beispiel-URLs:
h**ps://random123-random123-random123-dot-bad-app-2020.ue.r.appspot.com h**ps://insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot.com,
Beide verweisen aufgrund falscher Versions- und Dienstangaben wieder auf bad-app-2020.ue.r.appspot.com, wo immer dieselbe schädliche App lauert.
Forscher warnt vor Microsoft-Phishing
Klassische Sicherheits-Tools und -Plugins können diese Angriffsstrategie laut dem Blogeintrag für gewöhnlich nicht erkennen, sondern "sehen" lediglich die SSL-verschlüsselte Verbindung zur vermeintlich vertrauenswürdigen *.appspot.com-Subdomain.
Somit liegt es an den Nutzern, Links zu appspot.com-Subdomains, wie sie laut einem Tweet des Sicherheitsforschers Yusuke Osumi derzeit etwa im Rahmen einer Microsoft-bezogenen Phishing-Kampagne im Umlauf sind, mit einer angemessenen Portion Misstrauen zu begegnen.
Lesen Sie auch
Phishing: Gefälschte Netflix-E-Mails im Umlauf
(ovw)