Berichtet und gepatcht: RUB-Forscher entdeckt Sicherheitsrisiken bei Microsoft und Zotero

Mit tatkräftiger Unterstützung aus der Ruhr-Universität Bochum konnten die Software-Hersteller Microsoft und Zotero Sicherheitslücken in ihren Softwareprodukten schließen.

Dipl.-Ing. Mario Heiderich vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB entdeckte die als „kritisch“ und „hoch“ eingeschätzten Risiken in der MS-Filtersoftware „SafeHTML“ und im Bibliotheksprogramm Zotero.

Die Hersteller haben inzwischen entsprechende Patches ausgeliefert und die Probleme behoben. Wieder einmal waren Bochumer IT-Sicherheitsexperten damit Hackern einen Schritt voraus, ehe größerer Schaden entstehen konnte.

Böses und gutes HTML

Microsoft nutzt eine Filtersoftware in fast allen Produkten, in denen HTML zum Einsatz kommt – SafeHTML entfernt bösartige und aktive HTML-Codes, Stylesheets (CSS) und JavaScript, um das so genannte Cross Site Scripting (XSS) und vergleichbare Angriffe zu vermeiden. Im April und Mai dieses Jahres entdeckte Mario Heiderich zwei Sicherheitslücken und informierte den Hersteller. Zum einen konnten Angreifer bösartiges HTML an diesem Filter vorbeischleusen und damit u. a. Benutzernamen und Passwort eines angemeldeten Benutzers im Klartext auslesen und den Account des eingeloggten Benutzers missbrauchen.

Die zweite Lücke hat ähnliche Auswirkungen, der Weg ist jedoch ein anderer. Diese Lücke betraf zudem Applikationen wie Hotmail – ein Angreifer konnte eine präparierte Mail versenden und damit den Account des Empfängers kompromittieren. Im August 2010 wurde diese zweite Lücke von chinesischen Forschern „wiederentdeckt“ – aber nicht an Microsoft berichtet. „Da ich von dieser Wiederentdeckung frühzeitig erfahren habe, konnte ich die Information an Microsoft weitergeben und nach weiteren Untersuchungen eine dritte Variation der Verwundbarkeit entdecken“, so Heiderich. Am 12. Oktober 2010 wurden alle berichteten Sicherheitslücken gepatcht (MS10-071 und MS10-072).

Trojanisierte Rechner von Bibliotheksnutzern

Zotero ist eine Software zur Bibliotheksverwaltung, die vor allem Akademiker verwenden. Das Programm erlaubt zudem mehreren Usern, eine Bibliothek gleichzeitig und „kollaborativ“ zu nutzen. Am 8.10.2010 spürte Heiderich eine Sicherheitslücke in der „Zotero Firefox Extension“ auf, die es einem Angreifer ermöglicht, beliebigen Code auf dem Rechner des Opfers auszuführen. „Das ist ein hoch-kritischer Impact“, so der RUB-Forscher. Für einen erfolgreichen Angriff musste der Angreifer lediglich eine mit anderen Nutzern geteilte Bibliothek hochladen und darauf warten, dass die anderen User synchronisieren – dies geschieht automatisch – und dann einzelne Einträge betrachten. Der Angreifer konnte anschließend beliebige Programme herunterladen und starten und somit den Rechner des Opfers „trojanisieren“. Die Lücke wurde bereits am 13. Oktober von den Zotero-Entwicklern mit der Version 2.0.9 geschlossen (siehe http://www.zotero.org/support/changelog).

Prima Kommunikation mit der Industrie

„Die Kommunikation sowohl mit dem Zotero-Team als auch mit Microsoft lief prima“, resümiert Heiderich. „Die Lücke in Zotero wurde in gegenseitigem Einverständnis bezüglich der Validität des Patches geschlossen. Die Lücken in der Software von Microsoft wurden schnell konfirmiert und vergleichsweise rasch geschlossen.“ Mario Heiderich ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Netz- und Datensicherheit (Inhaber: Prof. Dr. Jörg Schwenk) an der Fakultät für Elektrotechnik und Informationstechnik der RUB. Der Lehrstuhl ist Teil des HGI, das mit zehn Professorinnen und Professoren aus Elektrotechnik und Informationstechnik, Mathematik sowie E-Business und Jura und derzeit 50 Wissenschaftlerinnen und Wissenschaftlern eine der größten und renommiertesten Hochschuleinrichtungen dieser Fachrichtung in Europa ist.

Weitere Informationen

Mario Heiderich, Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk), Fakultät für Elektrotechnik und Informationstechnik der RUB, Horst Görtz Institut für IT-Sicherheit (HGI), Tel. 0234/32-26728, E-Mail: mario.heiderich@rub.de

Angeklickt

HGI:
http://www.hgi.rub.de
Redaktion: Jens Wylkop