SQL-Angriffe
Firefox-Erweiterung spannt Bot-Netz auf
Eine als Microsoft-Tool getarnte Firefox-Erweiterung nutzt die Web-Aktivitäten des Benutzers, um besuchte Websites auf Schwachstellen abzuklopfen. Es kann zudem Benutzerdaten ausspionieren.
Online-Kriminelle nutzen fehlerhaft konfigurierte Web-Server, um legitime Websites mit Malware zu verseuchen, die dann die Rechner der Besucher infiziert. Sehr beliebt sind Sicherheitslücken in Web-Anwendungen, die SQL-Datenbanken benutzen. Durch so genannte SQL-Injection-Angriffe schleusen die Ang...
Online-Kriminelle nutzen fehlerhaft konfigurierte Web-Server, um legitime Websites mit Malware zu verseuchen, die dann die Rechner der Besucher infiziert. Sehr beliebt sind Sicherheitslücken in Web-Anwendungen, die SQL-Datenbanken benutzen. Durch so genannte SQL-Injection-Angriffe schleusen die Angreifer Code ein und erhalten so die Kontrolle über den Web-Server. Doch wie kommen die Täter an die Informationen, welche Websites geeignete Schwachstellen aufweisen?
Die Suche nach solchen Angriffspunkten in Web-Anwendungen kann recht mühsam sein. Mit Hilfe einer speziellen Browser-Erweiterung, die man möglichst vielen Anwendern unter einem Vorwand unterschiebt, lässt sich diese Aufgabe sehr viel effizienter erledigen, wie der Sicherheitsforscher Brian Krebs berichtet. Demnach haben Kriminelle mehr als 12.500 Rechner mit einer Firefox-Erweiterung infiziert, die als "Microsoft .NET Framework Assistant" getarnt ist.
Dieses Add-on untersucht die durch den Benutzer besuchten Websites auf ausnutzbare SQL-Lücken und meldet diese an das Mutterschiff eines Bot-Netzes. Die Täter nennen das Bot-Netz selbst "Advanced Power" und haben damit bislang mehr als 1.800 anfällige Websites ermittelt. Das schädliche Add-on enthält auch Funktionen zum Ausspähen von Benutzerdaten, die jedoch offenbar bislang nicht genutzt werden.
Es existiert eine legitime Firefox-Erweiterung gleichen Namens, die wirklich von Microsoft stammt und dessen "ClickOnce"-Technik unterstützt. Sie kann die Versionsnummer 0.0.0.0 (Dummy-Version) tragen, die aktuelle Version ist 1.3.1. Die Kennung lautet {20a82645-c095-46ed-80e3-08825760534b}. Der Malware-Zwilling hat hingegen die Kennung "advance@windowsclient.com" und wird inzwischen von den meisten Antivirusprogrammen erkannt.
Mozilla hat die schädliche Erweiterung bereits auf seine Sperrliste gesetzt, sodass sie nicht mehr funktionieren sollte. Allerdings ist dieses Add-on ohnehin nur mit recht alten Firefox-Versionen (2.0 bis 6.0) kompatibel und enthält keine Update-URL. Benutzer derart veralteter Browser-Versionen dürften automatische Updates abgeschaltet haben. Die ursprüngliche Download-URL, von der die schädliche Erweiterung geladen wird, scheint mittlerweile ebenfalls außer Funktion zu sein.
