Alert!

Sicherheitsforscher kombiniert drei Lücken in Discord-Messenger

Der Desktop-Client von Discord ist aufgrund von Sicherheitslücken in verschiedenen Komponenten attackierbar. Mittlerweile ist das Sicherheitsproblem gelöst.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Trojaner

(Bild: dpa, Sebastian Kahnert/Archiv)

Lesezeit: 2 Min.

Ein Sicherheitsforscher hat drei Schwachstellen in der Desktop-Applikation des Messengers Discord miteinander kombiniert und konnte so eigenen Code auf Systemen ausführen. Die betroffenen Betriebssysteme sind zum jetzigen Zeitpunkt nicht bekannt. Angreifer könnten dies für Remote-Code-Execution-Attacken ausnutzen. Nun wurden die Lücken geschlossen.

Die Schwachstellen finden sich im Software-Framework Electron und dem Betrachter für 3D-Inhalte Sketchfab. Aufgrund einer Voreinstellung (contextIsolation false) in Electron konnte JavaScript-Code von außen den Code des Clients beeinflussen und so beispielsweise die Laufzeitumgebung Node.js ansprechen. Mittels einer XSS-Lücke in Sketchfab bei der Darstellung von URLs in Chats konnte er eigenen Code in dem dafür zuständigen iframe ausführen.

Für eine Ausweitung setze er an der Lücke mit der Kennung CVE-2020-15174 in Electron an und umging Beschränkungen, um so mit seinem Code aus dem iframe auszubrechen. Die Sicherheitslücke ist mit dem Bedrohungsgrad "hoch" eingestuft. In einem ausführlichen Blog-Beitrag beschreibt der Sicherheitsforscher seine Funde.

In einem Video demonstriert er, wie ein potenzielles Opfer auf einen Link zu einem Video im Chatfenster klickt und sich prompt der Windows-Taschenrechner öffnet. Bei einer möglichen Attacke würde stattdessen Schadcode geladen.

Der Sicherheitsforscher gibt an, die Schwachstellen vor einigen Monaten über die Bug-Bounty-Programme von Discord und Sketchfab gemeldet zu haben. Von Discord bekam er dafür 5000 US-Dollar und von Sketchfab 300 US-Dollar. Mittlerweile haben die Entwickler die Lücken geschlossen. Dafür lassen sie unter anderem den iframe in einer Sandbox laufen, auch haben sie die contextIsolation-Funktion aktiviert. Ab welcher Version des Desktop-Clients von Discord das der Fall ist, ist derzeit nicht bekannt.

(des)