Der Penetrationstester Matthias Ungethuem (Unnex) hat bereits im Januar 2013 eine bisher unbekannte Sicherheitslücke in fast allen gängigen Browsern entdeckt. Diese erlaubt es Cyberkriminellen, per Brute-Force-Angriff FTP-Server zu hacken. Die Lücke im Safari, Internet Explorer, Opera und Google Chrome ist derzeit noch immer offen.

Die Lücke ist schon uralt. Unnex hat sie bereits Anfang 2013 ausführlich auf der Webseite seiner Hacker-Gruppe NN-Fraktion beschrieben. Heute früh berichtete der MDR exklusiv darüber.

Im ersten Schritt muss es dem Hacker gelingen, auf einer bekannten und viel besuchten Webseite JavaScript einzubinden. Das hört sich zunächst kompliziert an, mithilfe von vorhandenen Cross-Site-Scripting-Lücken (kurz: XSS) gelang dies aber schon auf zahlreichen populären Webseiten. Grundsätzlich gilt dabei: Umso häufiger die mit dem eigenen Programm infizierte Webseite besucht wird, umso besser. Das Javascript wird im Image Tag, also der Zusatzinformation eines Bildes eingebunden.

Wenn im zweiten Schritt nach dem Einfügen des JavasSripts die Webseite besucht wird, versucht sich über das eingeschleuste Zusatzprogramm der Hacker mit verschiedenen Kombinationen von Namen und Passwörtern auf einem FTP-Server seiner Wahl einzuloggen. Die Identität des Hackers bleibt dabei verborgen, weil beim Einbruchsversuch per Brute-Force die Internet-Adresse des Webseiten-Besuchers und nicht des Cyberkriminellen angegeben wird. Der Täter bleibt also im Verborgenen. Auch die Betreiber oder Besucher der Webseite bemerken nicht, dass etwas geändert wurde. Die Webseite sieht aus wie eh und je.

Brute-Force-Angriffe werden zur Erlangung von Passwörtern durchgeführt, indem eine Software in schneller Abfolge nacheinander verschiedene Zeichenkombinationen ausprobiert. Der Algorithmus ist sehr einfach und beschränkt sich auf das Ausprobieren möglichst vieler Zeichenkombinationen. Viele Browser reagieren nicht, sollte man die Login-Details eines FTP-Zugangs in einem Image Tag einbinden. Normalerweise müsste sich dabei ein Fenster öffnen um dem Nutzer mitzuteilen, dass seine Zugangsdaten nicht korrekt sind. Beim Internet Explorer, Google Chrome, Safari und Opera besteht allerdings die Lücke, dass eben kein Fenster geöffnet wird. Sicher sind momentan nur die Nutzer von einem Mozilla Firefox.

Sollte beim massenhaften Versuch einen FTP-Server zu hacken ein Passwort funktionieren, wird dieses dem Hacker von seinem JavaScript Code sofort zugeschickt. Problematisch ist das Verfahren für alle Unbeteiligten. Die Besucher der infizierten Webseite werden zu Hackern ohne es zu ahnen. Außerdem wird bei allen Hackversuchen ihre IP-Adresse übertragen. Sollte es wegen des Verstoßes gegen den Hackerparagrafen zu strafrechtlichen Verfolgungen kommen, wären sie in erster Linie betroffen und nicht die Cyberkriminellen.

Bildquelle: Pixabay, thx!