Einschleusen von Schadcode in FF

Zitat von liracon

- ist solch ein Szenario realistisch ?

Ja, durchaus. Zumindest realistisch im Sinne von "grundsätzlich denkbar". Mit JavaScript allein wird man kaum einen Keylogger realisieren können, aber man hat ja bekanntlich die Möglichkeit, Teile von Erweiterungen auch in kompilierten Hilfsanwendungen unterzubringen, die meist im Kontext des Firefox ausgeführt werden und deshalb von einigen Firewalls sicher übersehen würden. Aus Gründen, die ich gleich aufführen werde, halte ich diesen konkreten Angriff dennoch für unwahrscheinlich.

Zitat von liracon

- ist sowas schon mal irgendwo bekannt geworden ?

Dieses konkrete Szenario ist mir noch nicht begenet, denn es ist unnötig umständlich. Klar kann man theoretisch Teile von Erweiterungen austauschen, aber die Schwachstelle liegt bereits ganz am Anfang deiner Beschreibung:

Zitat von liracon

ein Schädling gelangt auf mein System.

Wenn das passiert ist, ist es bereits zu spät. Ein lokal ausgeführter Schädling kann beliebige Dinge mit den Rechten des angemeldeten Benutzers tun. Dies sind nicht selten Administratorrechte und das bedeutet, dass der Schädling z. B. beliebig DLL-Aufrufe in eine laufende und in der Firewall (sofern vorhanden) freigegebene Anwendung injizieren kann. Es ist überhaupt nicht nötig, eine Erweiterung zu "kapern". Diese Technik würde ja auch nur funktionieren, wenn eine bestimmte Erweiterung vorhanden ist und natürlich muss auch der Firefox installiert sein.

Ein Schädling, der es bereits auf das System geschafft hat, wird also (fast) immer eigene Schadroutinen installieren und sich nicht darauf verlassen, dass ein bestimmtes Programm vorhanden ist. Wenn der Schädling schon Systemzugriff hat, dann installiert er einen eigenen Keylogger und manipuliert ggf. Daten selbst.

Zitat von liracon

- sofern realistisch und möglich: wie könnte man sich davor schützen ?

Indem man folgendes bedenkt: Ein Schädling "kommt" nicht einfach so auf das System, sondern entweder über eine Sicherheitslücke oder über eine betrügerische Seite, die unter Vortäuschung falscher Tatsachen den unbedarften Surfer zu einer schädlichen Aktion (installieren eines "Codec-Updates") überreden wil. Die allgemeinen, tausendfach gebetsmühlenartig genannten und nicht speziell auf dein Szenario bezogenen Tipps greifen also auch hier:

• Der meiner Meinung nach wichtigste Punkt, noch vor Sicherheitssoftware/-einstellungen, Benutzerrechten usw.: Aneignung entsprechenden Wissens, das die kritische Bewertung der Sinnhaftigkeit einer Online-Aktion ermöglicht ("Wenn mir die Seite wirklich kostenlose Software anbietet: Warum soll ich dann jetzt meine Adresse angeben?", "Wenn diese Seite möglichst vielen Besuchern kostenlose Videos anbieten will, warum verwendet sie dann einen völlig exotischen Codec, den anscheinend keiner hat und nicht Flash-Video oder DivX oder ...?")
• Herunterladen von Software nur aus vertrauenswürdigen Quellen, am besten immer direkt vom Hersteller
• Ungewöhnlichen Aufforderungen immer misstrauen
• Sämtliche sicherheitskritische Software aktuell halten, insbesondere immer aktuellste Pluginversionen benutzen und das Betriebssystem aktuell halten. Falls zutreffend: Nicht auf Windows-Updates verzichten, weil die Update-Seite keine ausliefert oder man nicht "erwischt werden" will, sondern eine gültige Lizenz kaufen.
• Wenn man ein bisschen weiter gehen will: Extrem weitverbreitete Software meiden, wenn möglich und sinnvoll. Falls eine Sicherheitslücke im Adobe Reader, in Outlook Express oder in Winamp bekannt wird, dann könnte es Schädlinge geben, die diese direkt auszunutzen versuchen. In solchen Fällen erreicht man zwar nicht die Mehrheit der Nutzer, aber eben doch mit absoluter Sicherheit ein paar. Natürlich ist das ein schwacher Punkt: Der Firefox ist schließlich auch hochgradig populär, er ist hundermillionenfach im Einsatz, aber ich wöllte nicht auf ihn verzichten. Außerdem muss man entgegenhalten:
• Niemals glauben, dass man "vollkommen sicher" sei, nur weil man bestimmte Software einsetzt. Das gilt einerseits für dümmliches, nachgerade anmaßendes Marketinggesülze ("Tu was du willst - du hast doch dein [Müll in gelber Verpackung]"), andererseits aber z. B. auch für Browser. Ich kann mich noch gut an die Zeiten von Phoenix und Firebird, die Firefox-Vorläufer, erinnern. Damals war vieles aus heutiger Sicht noch unsicherer, eine Seite konnte z. B. einfach einen Dialog zum Installieren von Erweiterungen anziegen, ohne dass man vorher zwingend klicken musste (also etwa auch gleich beim Laden der Seite als onLoad-Ereignis). Außerdem gab es keine Whitelist, sondern jede Seite durfte dies. Ein vorschneller Klick auf OK und man hätte eine unbekannte Erweiterung installiert gehabt. Trotzdem hat diesen Angriff lange Zeit niemand audgeführt, weil er sich einfach nicht lohnte. Die Nutung des Exotenbrowsers Firebird war monatelang ein Garant dafür, dass man sich nichts einfängt. Das ist heute natürlich anders, mit zunehmender Verbreitung des Firefox traten und treten auch Angriffe auf, die gezielt für neuentdekte Sicherheitslücken dieses Browser geschrieben sind. Wer heute immer noch meint, er sei "völlig sicher", nur weil er Firefox benutzt, der hat ein paar Jahre verpasst. Der Firefox ist ein sehr sicherer Browser und er hat im Vergleich zum IE eine wesentlich bessere Lücken- und Reaktionszeitbilanz. "Kopf ausschalten" erlaubt er aber auch nicht.

Die wichtigste Regel sei aber hier noch einmal wiederholt: Wenn der Schädling schon auf dem System ist und ausgeführt wird, dann haben (Sicherheits-)Software und kritisches Urteilsvermögen versagt und es ist in jedem Fall zu spät. Sämtliche Sicherheitsansätze sind nur sinnvoll, solange sie präventiv sind - ein wirklicher Schutz vor bereits aktiven Schädlingen, also eine Schadensbegrenzung, kann kaum zufriedenstellend gelingen. Man kann die Sicherheit nochmal um einiges verbessern, wenn man nicht mit Administratorrechten arbeitet. Ein 100%iger Schutz ist aber auch dies nicht, z. B. wenn sich Schadsoftware in freigegebene vertrauenswürdige Software einklinken kann.

Zitat von liracon

Attachments nur aus vertrauenswürdiger Quelle usw. - ist bestimmt schon vielen klar, aber ich habe selbst erst vor 2 Wochen von meinem Bekannten ein Word-Dokument per Mail erhalten, bei dem mein Scanner sofort anschlug.

Der Begriff "vertrauenswürdige Quelle" wird oft mißverstanden. Freunde, Bekannte, Verwandte sind in der Regel keine vertrauenswürdige Quelle, selbst wenn man ihnen menschlich zu 100% vertraut. Habe erst kürzlich von einem Freund, auf den ich mich zu 100% verlassen kann, einen Datenträger mit Bildern von unserem Urlaub erhalten. Außer den Bildern befanden sich darauf auch 2 Würmer. Da sein PC nicht einmal an's Internet angeschlossen ist, kann er diese Würmer nur auf Datenträgern von Freunden erhalten haben, denen er in Computerangelegenheiten vertraut. Womit wir wieder am Anfang meines Postings wären.

Abends!
Danke , @ PIGSgrame , für Deine Ausführungen , es gibt dem kaum etwas hinzuzufügen.

Zitat

...aber scheinbar gibt es doch auch einige Möglichketen, über diesen Weg Schaden zu generieren.

Da magst Du recht haben. Der hohe Grad der Erweiterbarkeit könnte sich als Archillesferse erweisen ...
Bei dieser Überlegung aber fehlt mir der Aspekt der "vielen Augen" und der
tatsächlichen Nutzbarkeit einer bösartigen Manipulation via AddOn.
Imho sind die Zeiten vorbei , wo es Böslingen schlicht ums Abschießen fremder Systeme geht - mittlerweile stehen massive wirtschaftliche Absichten im Vordergrund ( BotNet/PhischersPhritze).
Es geht also im Wesentlichen um eine möglichst hohe Verbreitung und darum,möglichst lange unentdeckt zu bleiben.
Der Infektionsweg bleistiftsweise via AMO oder andere mehr oder minder "offizielle" Stellen halte ich daher für ungeeignet .
Zwar verfüge ich derzeit nicht über profundes Wissen über die aktuellen Prüfungsroutinen - ich gehe aber davon aus,das sie stattfinden.
Gerne lasse ich mich von etwaigen Eingeweihten dazu aufklären.
Fraglich wäre dito , wielange eine bösartige Funktion auf diesem Wege , sollte sie denn dann itw sein , userseits unentdeckt/kommentiert/sanktioniert bliebe.
Es macht schon einen Unterschied , ob ich lokal versuche , mir selbst etwas unterzuschieben - oder ob ich das im ganz großen Stil mit einem Addon versuche...
Eine reale Gefährdung sehe ich darin , daß es sehr wohl möglich ist , eine populäre Erweiterung umzustricken und über eigene Server zu verbreiten. Wie dieses Potential einzuschätzen ist , wage ich nicht zu mutmaßen - insbesondere im Hinblick auf die zunehmende Verbreitung des Fx.
Per se gibt es keine absolute Sicherheit - und erst recht keine Software , die das für sich in Anspruch nehmen könnte.
Die gefühlte Sicherheit weicht nach meiner Erfahrung meist eklatant von der tatsächlichen Lage ab...

...snip...

Erlaubt mir einen kleinen Seitenhieb Richtung "brain.exe"-Fraktion :
Ob die "1.0" letztendlich stable ist , bleibt fraglich.
Auch zu diesem hervorragenden Programm gibt's Updates und Addons.
Hier empfehle ich gerne die "positronic.xpi" , die bestimmte Sysnapsen beschleunigt (interner Datentransfer/-abgleich) und die dt. Erweiterung "worthülse.xpi" , die einen zeitnahen Abgleich des osmotischen Innendrucks einer Worthülse mit einer real existierenden Datenbank ermöglicht.

...snap...

Gruß

P.

Zitat von PIGSgrame

Mit JavaScript allein wird man kaum einen Keylogger realisieren können

Innerhalb des Fx, warum nicht? Erweiterungen sind in JS geschrieben. Mit der Addon-API des Fx lassen sich die verschiedensten Dinge machen. Dazu braucht es keinen kompilierten Code.

Zitat

Dieses konkrete Szenario ist mir noch nicht begenet, denn es ist unnötig umständlich.

http://www.heise.de/security/Spywa…s/meldung/75990

Zitat

Es ist überhaupt nicht nötig, eine Erweiterung zu "kapern". Diese Technik würde ja auch nur funktionieren, wenn eine bestimmte Erweiterung vorhanden ist und natürlich muss auch der Firefox installiert sein.

Hat der User keine Admin-Rechte, so lässt sich trotzdem der Browser manipulieren. Gerade das ist eine der zentralen Schwachstellen im Erweiterungsprinzip des Fx. Es muss auch keine spezielle Erweiterung vorhanden sein. Ein Schadprogramm könnte beliebige Erweiterungen manipulieren oder sogar neue erzeugen. Insofern ist nur der Fx vorauszusetzen.

Zitat von liracon

Dieser tauscht eine in FF vorhandene Erweiterung gegen eine mit irgendwelchen Schadcode versehene Erweiterung aus.

Er könnte genauso eine neue erstellen.

Zitat

Ich unterstelle mal, dass es einem guten Programmierer und Freak durchaus gelingen könnte, entsprechende JS-Routinen irgendwie unbemerkt in einer Erweiterung unterzubringen und zu aktivieren, die dann z.B. Benutzereingaben abfangen (Keylogger-ähnlich) oder Schadcode nachladen.

Dazu braucht man nicht mal gute Programmierer. Das kann sich jeder bei Lust und Laune aneignen. Ist ja alles dokumentiert und nicht wirklich schwer.

Zitat

bzw. diese mit einem read-only Attribut gegen Manipulation zu schützen.

Die Frage dürfte sein, wie der Schutz realisiert ist. Das read-only-Flag zu setzen ist recht witzlos, wenn der User die Rechte hat, dieses Flag wieder zu entfernen.

Zitat

Ich habe das mal getestet und bemerkt, dass ein globales read-only des VZ Extension nicht möglich ist (Fehlermeldungen).
Einzelne Addon-VZ hingegen (z.B. FireFTP) kann man so sichern.

Grundsätzlich dürften die Verzeichnisse bzw. Dateien, die ausführbaren Code enthalten nicht mit den Rechten des Nutzers veränderbar sein.

Zitat

- ist solch ein Szenario realistisch ?
- ist sowas schon mal irgendwo bekannt geworden ?
- sofern realistisch und möglich: wie könnte man sich davor schützen ?

Ja. Ja. Mit oben genanntem Ratschlag.

Zitat von liracon

Eine kleine Funktion eingebaut, die eine bestehende ergänzt, wieder gepackt und ins Verzeichnis geschoben.
Firefox führt hier keine MD5/Hash oder sonstige Prüfung durch, die Dateigrösse hat sich um knapp 11KB vergrössert.

Natürlich könnte man die Dateien hashen, aber wo speicherst du die Werte? Die müsstest du ebenfalls so ablegen, dass der Nutzer keine Schreibrechte darauf hat.

Zitat

Man könnte da ja jetzt z.B. ein aufpoppendes Fensterchen einbauen, die Meldung "fehlerhafte Komponente entdeckt - bitte von hier installieren" ausgeben, der Anwender klickt dann JA, und was immer dann eben passieren kann.

Da braucht es doch keine User-Interaktion mehr. Ist die schadhafte Erweiterung erstmal drin, kann sie alles automatisch machen. Die Schranken sind lediglich die Rechte des Fx-Prozesses im System.

Zitat von PvW

Der Infektionsweg bleistiftsweise via AMO oder andere mehr oder minder "offizielle" Stellen halte ich daher für ungeeignet .

Weshalb? Angenommen es gelingt eine bösartige Erweiterung dort einzuschleusen, so ist das eine geeignete Plattform. Der User vertraut im Allgemeinen solchen Seiten und installiert die Erweiterungen ohne Vorbehalte.

Zitat

Zwar verfüge ich derzeit nicht über profundes Wissen über die aktuellen Prüfungsroutinen - ich gehe aber davon aus,das sie stattfinden.

Es bleibt zu hoffen dennoch:
http://www.heise.de/security/Firef…/meldung/107591
Auf AMO mag es zwar Prüfungen geben, aber wie sieht es bei anderen Seiten aus? erweiterungen.de bspw. Wer prüft dort jede Erweiterung auf Herz und Nieren?

Zitat

Eine reale Gefährdung sehe ich darin , daß es sehr wohl möglich ist , eine populäre Erweiterung umzustricken und über eigene Server zu verbreiten. Wie dieses Potential einzuschätzen ist , wage ich nicht zu mutmaßen - insbesondere im Hinblick auf die zunehmende Verbreitung des Fx.

Gedankenspiel:
Ein User ist mit Fx und diversen Erweiterungen unterwegs. Wie jeder anständige Surfer hat er JS aktiviert. Wie auch immer kommt er auf die böse Seite evil.org. Jetzt nehmen wir mal an, dass via JS festgestellt werden kann, welche Erweiterungen der User hat.
Wäre doch möglich, dass dem User dann eine Seite präsentiert wird, die dem AMO-Layout recht ähnlich sieht und ihn darauf hinweißt, dass es ein Update für eine seiner Erweiterungen gibt. Anbei natürlich eine entsprechend Anleitung: Link speichern unter, auf dem Desktop speichern, in den Fx ziehen und anschließend löschen.
Wie viele User würden darauf wohl reinfallen?

Blind vertrauenswürdig gibt es nirgendwo.

Und das Firefox die Verzeichnisse listen kann, liegt nicht daran das er sich nicht an Richtlinien hält. Das zeigt nur das ihm das System zu viele Rechte einräumt. Und alles was Firefox darf, dürfen auch Erweiterungen. Insofern hast Du das richtig erkannt, dass das ein Windows- und kein Firefox-Problem ist. Und Mozilla kann nicht wirklich für jede Lücke in Windows einen Patch browserseitig liefern. ; )

Zitat von liracon

Gerade getestet: interessiert keinen, die Erweiterung listet mein Verzeichnis auf, dass Admin (Group) als einziges Recht definiert hat.

Somit übernimmt FF - ungeachtet der Prozesseinstellungen - MEINE Rechte (mein Username ist in Group admin) und nicht die des Prozesses (group ONLINE).

Nein er übernimmt nicht deine Rechte, kann ein Programm sowieso nicht, dass macht das OS.
Unter Windows hat deine ONLINE group wahrscheinlich Leserechte auf das Verzeichnis.

liracon stellte Folgendes dar:

Zitat

[...]ein Schädling gelangt auf mein System. Dieser tauscht eine in FF vorhandene Erweiterung gegen eine mit irgendwelchen Schadcode versehene Erweiterung aus.[...]

Der FF ist nicht das System. Der FF muss sich dem zugrundeliegendem System (OS / Windows / Linux, etc.) beugen...

Deine obige Darstellung ist - meines Wissens nach - daher auch nicht realisierbar. Das solltest Du (liracon) eigentlich bereits wissen, da wirklich sensible Anwendungen (z.B. Online-Banking, PW-Verfügungen etc.) niemals im Kontext des Firefoxes selber laufen, sondern eher "tiefer" greifen würden. Der FF (und seine somit "kompromittierbaren" (Pearl / Java) Erweiterungen) stellen - meiner Ansicht nach - dagegen bloss nur harmlose Anwendungen dar, welche bloss nicht-relevante Daten, im Kontext des FF selber verarbeiten.

liracon stellte darüberhinaus noch Folgendes in Frage:

Zitat

Ich unterstelle mal, dass es einem guten Programmierer und Freak durchaus gelingen könnte, entsprechende JS-Routinen irgendwie unbemerkt in einer Erweiterung unterzubringen und zu aktivieren, die dann z.B. Benutzereingaben abfangen (Keylogger-ähnlich) oder Schadcode nachladen.[...]

Ist technisch leider Unsinn, denn innerhalb der FF-Browser-Verfügung (und anderer Browser-Verfügungen auch), gibt es definitiv keine System-Kompromittierungen über eingeschleuste Anwendungs-Scripte. Denkbar wären dagegen eher Scripte, (über z.B. externe ungesicherte Downloads), welche u.U. auf den Windows Script Host (WSH) zugreifen könnten, um dann von dort aus das System (wenn auch nur eingeschränkt) kompromittieren zu können.

Die Basis wird - meiner Ansicht nach - stets ein sauberes und abgesichertes Betriebssystem bilden. Der Browser steht dagegen erst an zweiter Stelle...

Oliver

IE unter Linux ist nicht unbedingt sicher. Ein Angriff darüber und der IE ist übernommen und Wine läuft besser als man glauben mag. Es gibt durchaus Viren die damit mehr oder weniger laufen. Zumindest gut genug als dass sie Probleme erzeugen.

Die Problematik mit den Rechten hat nichts mit Firefox oder einer anderen Anwendung zu tun. Das Betriebssystem hat Firefox diese Rechte gegeben anders ist dieses Verhalten nicht zu erklären. Programme bekommen nicht gesagt "Hey du hast nur die und die Rechte, mach bitte nicht mehr".

Zitat von liracon

wenn das tatsächlich "so einfach" ist, JS-Code in FF einzuschleusen, dann frage ich, wieso die Entwickler solche Szenarien nicht besser berücksichtigen.

Weil sie darin kein ausreichendes Bedrohungspotential sehen. Um es auch nochmal zu Konkretisieren in Bezugnahme auf den Beitrag von Oliver:
Ein JS-basierter Keylogger wäre implizit natürlich nur im Fx wirksam. Eine Kompromittierung des Systems ist allein mit JS nur eingeschränkt möglich, allerdings kann weiterer Code nachgeladen und ausgeführt werden. Solange der Fx-Prozess über die entsprechenden Rechte verfügt, ist dabei auch das System gefährdet. Insofern hat er mit seiner Schlussfolgerung vollkommen recht.

Zitat

Ich war bisher der Meinung, der JS-Code (oder ggf. auch compilierter Code) in Erweiterungen wird maximal mit den Rechten des FF ausgeführt, die - so meine Vorstellung - auch maximal den Evironmentspace des FF nutzen können.

Was du unter Environmentspace verstehst bleibt offen, aber grundsätzlich hat der Code in Erweiterungen die Rechte des Prozesses.

Zitat

zurück... Somit dürfte eine JS-Erweiterung !nicht! auf ein Verzeichnis zugreifen dürfen, das als Rechtevergabe Admin only hat.

Hast du denn wirklich geprüft, ob das Leseberechtigungen für andere Gruppen ausschließt, so wie es DasIch angedeutet hat?

Zitat

Eventuell sollte man dann dieses "Marketinginstrument" Sicherheit bei FF ein bisschen relativieren. Sicherer: ja, aber so "blind vertrauenswürdig" sicher: deutlich nein.

Verkauft sich in der Ehrlichkeit schlecht. Deswegen hebt Mozilla eben die Sicherheitsfeatures hervor und redet nicht über die ganzen Einschränkungen. Das machen aber i.d.R. alle Software-Hersteller so. Für den normalen User sind detaillierte Schilderungen ohnehin weder verständlich noch interessieren sie ihn wirklich.
Ärgerlicher sind eher die Fanboys, die noch immer unreflektiert durch das Web jagen und den bösen IE verteufeln, der ja so unsicher im Vergleich zur "Sicherheitsfestung" Fx ist. So nach dem Motto: "Fx installieren und du bist die ganzen Probleme los!"

Spricht also doch alles dafür ohne Admin-Rechte zu surfen, oder?

Man sollte außer bei Änderungen am System niemals Adminrechte verwenden. Beim Surfen ganz besonders nicht. ; )

Zitat von Boersenfeger

Spricht also doch alles dafür ohne Admin-Rechte zu surfen, oder?

Ja. Es spricht sogar alles dafür gar nichts mit Admin Rechten zu tun, wenn diese nicht notwendig sind.