Cookies und Subdomains

Server-Hack durch die Seitentür

Die Art und Weise, wie Browser bis heute mit Cookies umgehen, ermöglicht im Zusammenspiel mit falschen Annahmen von Website-Betreibern Angriffe auf Web-Server und nachfolgend auf deren Besucher.

Das nachvollziehbare Bedürfnis einfache Lösungen zu nutzen sowie falsche Annahmen darüber, wie das Domänen-Konzept in der Praxis funktioniert, machen Web-Server anfällig für Angriffe krimineller Hacker durch die Seitentür. Unternehmen binden Websites von Drittanbietern als Subdomains ein. Findet ein Angreifer in diesen Websites eine Schwachstelle, kann er über Cookies auch auf Daten von Besuchern des Haupt-Servers zugreifen. Der Sicherheitsforscher Michael Bailey, seit August 2009 bei Foreground Security, hat in seiner noch jungen Karriere bereits eine Reihe von Schwachstellen in prominenten Websites aufgedeckt. Bailey hat kürzlich einen Aufsatz über so genannte CSRF-Angriffe (Cross-site Request Forgery) veröffentlicht, in dem er darstellt, wie Schwachstellen in Subdomains (etwa: www.xyz.firma.com) ausgenutzt werden können, um Besucher des Haupt-Servers (www.firma.com) anzugreifen und Daten auszuspähen. Bailey nennt auch konkrete Fälle wie Google oder McAfee. Eine Mitschuld trifft die gängigen Browser und ihrem Umgang mit Cookies.

Die Einbindung der Website einen Drittanbieters über das DNS (Domain Name Service) er schient zunächst logisch und sicher. Ein Server www.firma.com hat Kontrolle über www.xyz.firma.com - nicht jedoch umgekehrt, denn das System und die Vertrauensstellungen sind hierarchisch. Doch im Browser kehrt sich das Ganze um. Ein Server www.abc.firma.com kann, vereinfacht ausgedrückt, Cookies für www.firma.com setzen und auslesen.

Findet ein Angreifer eine Schwachstelle im Server www.xyz.firma.com und kann ihn manipulieren, kann er ihn auch veranlassen spezielle Cookies für firma.com zu setzen (statt nur für die eigene Subdomain). Meldet sich ein Besucher auf www.firma.com (etwa eine Bank oder ein Provider) an, kann ein Besuch bei www.xyz.firma.com zum Auslesen von Sitzungs-Cookies durch den Angreifer genutzt werden. Er erhält unter Umständen Zugriff auf das Benutzerkonto bei www.firma.com.

Das ist keineswegs rein theoretisch - Bailey nennt konkrete Beispiele. Er schildert, wie etwa Google, Expedia und die Chase Manhattan Bank dafür anfällig waren. Bei diesen Unternehmen wurden die bestehenden Schwachstellen bereits beseitigt. Doch viele andere Websites sind weiterhin anfällig für solche Manipulationen. Mike Bailey zeigt auch, wie Server-Admins solche Fußangeln vermeiden können. (PC Welt/mje)