Internetproxy als Angriffsplattform missbraucht

Hugo Vázquez Caramés und Toni Cortés Martínez von Infohacking haben Schwachstellen bei Internetproxies aufgedeckt. Betroffen sind der Inktomi Traffic-Server und Microsofts ISA-Server. Die genannten Produkte werden vielfach eingesetzt: In Spanien, dem Herkunftsland der Sicherheitsexperten, setzt Telefonica flächendeckend Inktomi Traffic-Server ein, Microsofts Internet Security and Acceleration Server (ISA) wird von vielen Unternehmen als Firewall eingesetzt.

Grundlage der Löcher sind falsch behandelte Anfragen der Webbrowser. Ein Angreifer kann Scripting-Code in eine HTTP-Anfrage einbauen, die der Proxy nicht vollständig ausfiltert. Klickt ein Benutzer auf einen manipulierten Link in einem HTML-Formular, so kann der Angreifer dort Code innerhalb von Script-Tags versteckt haben, folgender Code nutzt die Schwachstelle im ISA-Server aus:

xmlHttp.setRequestHeader("Via", "CODE_INJECTED_IN_VIA_HEADER\
alert\(\"ISA_SERVER_XSS_by_INFOHACKING\"\)\<\/skript>")

Der Browser des Opfers folgt nun einem Link auf einen Server, der im Proxy einen Fehlerzustand verursacht. Aufgrund der falschen Behandlung der übergebenen Parameter wird der Code wieder an den Browser zurückgesendet. Im Browser wird nun je nach Sicherheitseinstellung der Code ausgeführt und erlaubt Zugriff auf Cookies. Die Cookies werden aber nun an den Server des Angreifers gesendet. Diese Cross-Site-Scripting-Angriffe setzen voraus, dass der manipulierte Link auf einen Server führt, dem der Benutzer vertraut. Der Browser muss also diesen Server als "vertrauenswürdige Site" konfiguriert haben und Cookie-Anfragen zulassen. Cookies können unter anderem auch Authentifizierungsdaten für Websites enthalten.

In der Mailing-Liste Full-Disclosure erschien heute ebenfalls der Hinweis auf eine Cross-Site-Scripting-Schwäche auf den Servern des Internic. Das Internic ist einer der größten Registrare für Domänen und betreut mehrere tausend Kunden. Dieser Link demonstriert die Schwachstellen, stellt aber keinen Angriff dar. (dab)