Bereits seit 18 Jahren besteht bei mehreren Browsern die Sicherheitslücke 0.0.0.0 Day, mit der böswillige Webseiten Sicherheitsmechanismen von Browsern umgehen können. Hersteller sollen möglichst schnell handeln.
Die Sicherheitslücke 0.0.0.0 Day ist bereits seit 2008 bekannt und betrifft hauptsächlich Geräte mit macOS und Linux, da sie böswilligen Webseiten ermöglicht, bei Apple, Google Chrome und Mozilla Firefox die Sicherheitsmechanismen zu umgehen. Angreifer können Einstellungen ändern, geschützte Informationen abschöpfen und Codes vermutlich auf betroffenen Systemen ausführen. Die Sicherheitslücke wurde noch immer nicht geschlossen. Browser-Hersteller haben bereits die ersten Schritte zum Schließen der Lücke entwickelt. Zum Schutz der eigenen Anwendungen werden jedoch weitere Sicherheitsmaßnahmen empfohlen.
Umgehung von Sicherheitsprotokollen gängiger Webbrowser
Forscher der israelischen Cybersecurity-Firma Oligo erklärten in einem Blogbeitrag, dass die seit 18 Jahren bestehende Sicherheitslücke 0.0.0.0 Day böswilligen Webseiten die Umgehung von Sicherheitsprotokollen bei Webbrowsern wie Apple Safari, Mozilla Firefox und Google Chrome ermöglicht. Angreifer können per Fernzugriff unautorisiert auf sensible Informationen zugreifen, Einstellungen ändern und auch einen Code ausführen. Das bereits 2008 gemeldete Problem wurde in den Browsern immer noch nicht behoben. Die Hersteller haben jedoch das Problem erkannt und arbeiten Berichten zufolge an einer Lösung.
Funktionsweise von 0.0.0.0 Day
Laut Oligo sind alle Webbrowser auf der Basis von Chromium von der Sicherheitslücke betroffen. Der Name 0.0.0.0 Day geht auf Zero-Day-Exploits zurück, die über lange Zeit nicht erkannt wurden. Wird die IP-Adresse 0.0.0.0 in einen betroffenen Browser eingegeben, wird sie an auf dem Server befindliche private Adressen weitergeleitet. Häufig handelt es sich um eine Domain für einen lokalen Rechner, die als lokalhost bezeichnet wird. Im Normalfall sollten Zugriffe auf diese IP-Adresse nur im eigenen Netzwerk vor Ort möglich sein.
Die Logik von Firefox, Chrome und Safari kann von Angreifern ausgenutzt werden, um aus der Ferne anzugreifen. Wer auf einer von den Hackern angelegten Webseite surft, könnte auf seinem Computer schädliche Zugriffsanfragen erhalten. Angreifer können nun offene Ports erkennen, auf Dateien zugreifen und den lokalhost angreifen.
Wie Sicherheitsforscher Avi Lumelsky gegenüber Forbes betonte, können Angreifer alle auf den Maschinen gespeicherten Daten bekommen. Sie haben Zugriff auf Nachrichten, Dateien und sogar auf Logins. Außerdem können sie JavaScript nutzen, um die Konfiguration der Zielrouter zu verändern. So erhalten sie weitere Zugriffsrechte.
Schwachstelle als Ergebnis inkonsistenter Sicherheitsmechanismen
Die Ursachen für die Sicherheitslücke sind inkonsistente Sicherheitsmechanismen bei verschiedenen Browsern sowie eine fehlende Standardisierung. Mit einer solchen Standardisierung können öffentliche Webseiten über die Wildcard-IP-Adresse 0.0.0.0 mit lokalen Netzwerkdiensten interagieren. Häufig wird die 0.0.0.0 so interpretiert, als ob alle IP-Adressen auf einem lokalen Computer hinterlegt sind.
Forscher beobachten Bedrohungsakteure
Die Forscher von Oligo beobachteten mehrere Bedrohungsakteure, wie sie die Schwachstelle ausnutzten. Selenium und ShadowRay sind Angriffe, die weltweit genutzt werden, um KI-Workloads auf dem Selenium Grid Server anzuvisieren. Die Entwickler von Webbrowsern haben bereits verschiedene Maßnahmen entwickelt, um den Zugriff auf 0.0.0.0 nicht zu ermöglichen. Mozilla Firefox, Safari und Google Chrom wollen zur Behebung des Problems Updates erarbeiten.
Die Patches sind noch nicht vollständig implementiert. Oligy empfiehlt den Herstellern von Browsern zusätzliche Sicherheitsmaßnahmen. Private Nutzer sollen kritisch gegenüber fragwürdigen Webseiten sein und Links aus nicht vertrauenswürdigen Quellen nicht öffnen.
Browser-Anbieter können PNA-Header nutzen und HOST-Header überprüfen. Weiterhin können CSRF- und HTTPS-Token verwendet werden.
Quellen: Oligo, Forbes, Golem, t3n, Notebookcheck