andranik123 - stock.adobe.com
Typische Browser-Angriffe und Schutzmaßnahmen im Überblick
Browser sind kritische Komponenten in der IT, ob bei Webanwendungen oder Geräte-Management. Sicherheitsteams und Benutzer müssen wissen, wie sie gängige Angriffe vermeiden können.
Nahezu jedes System in einem Unternehmen verfügt über einen Browser. Grund genug, für Angreifer sich mit dieser Angriffsfläche intensiv zu beschäftigen und diese auszunutzen. Und Browser bieten eine ganze Reihe von Angriffspunkten. Daher sollten sich Anwender und IT-Teams mit den potenziellen Attacken auseinandersetzen.
Die folgenden fünf Browser-Angriffe - Cross-Site-Scripting (XSS), bösartige Erweiterungen, Session-Hijacking, DNS-Poisoning und MitM-Angriffe (Man in the Middle) - gibt es schon seit einiger Zeit und sind gut erforscht und dokumentiert. Dennoch funktionieren sie immer noch, so dass Angreifer sie weiterhin nutzen.
1. Cross Site Scripting (XSS)
Bei XSS-Angriffen (Cross Site Scripting) wird bösartiger Code auf der Client-Seite, oft in Form von JavaScript, HTML oder Visual Basic Script, in eine kompromittierte Webanwendung oder Website eingeschleust, um den Browser des Opfers zu beeinflussen. Eine infizierte Website könnte beispielsweise ein bösartiges Skript an den Browser senden, wo es ausgeführt wird und Benutzerdaten stiehlt oder die Browser-Sitzung kapert. Der Browser führt das bösartige Skript aus, weil er davon ausgeht, dass es von einer vertrauenswürdigen Quelle stammt. Kriminelle Akteure führen XSS-Angriffe auf eine der folgenden drei Arten durch:
- Stored XSS. Die kompromittierte Anwendung oder Website speichert unüberprüfte Benutzereingaben und führt möglicherweise ein darin eingebettetes Skript aus, ohne dass der Benutzer etwas tut.
- Reflected XSS. Der Code wird in den Browser injiziert, wenn ein Benutzer auf einen Link klickt, der die bösartige Nutzlast enthält. Der Code wird nicht auf der Website oder Anwendung gespeichert, sondern wird über eine HTTP-Antwort ausgegeben.
- DOM-basiertes (Document Object Model) XSS. Der Angreifer nutzt die DOM-API, um den Browser dazu zu bringen, den eingeschleusten bösartigen Code auszuführen.
Wie man Cross Site Scripting verhindert
Sicherheitsteams und Entwickler haben die folgenden Möglichkeiten, XSS-Angriffe zu vereiteln:
- Verwenden den Content-Security-Policy Header. Mit diesem Header kann der Website-Eigentümer die Arten von Ressourcen einschränken, die ein Endbenutzer von einer bestimmten Webseite laden kann.
- Aktivieren Sie das HttpOnly-Flag. Wenn dieses zusätzliche Flag aktiviert ist, kann auf die erstellten geschützten Cookies nicht über ein clientseitiges Skript zugegriffen werden, sofern der verwendete Browser HttpOnly unterstützt.
- Validieren Sie Benutzereingaben. Der Browser sollte keinen Eingaben von außerhalb des Systems vertrauen, wie zum Beispiel einem XSS-Skript. Erstellen Sie eine Erlaubnisliste (Allowlist), die akzeptable Eingaben hervorhebt. Eine Anwendung sollte Benutzereingaben bereinigen und filtern, um Injektionsangriffe zu verhindern.
2. Bösartige Browser-Plugins und -Erweiterungen
Plug-ins und Erweiterungen sind kleine Codestücke, die die Funktionalität des Browsers verbessern sollen. Sie können zum Beispiel Werbung blockieren, die Ausführung von JavaScript stoppen und sogar das Herunterladen bösartiger Dateien verhindern. Aber es gibt ein Problem: Die Marktplätze für Browsererweiterungen überprüfen Erweiterungen selten umfassend, und bösartige Erweiterungen können durchschlüpfen. Bösartige Erweiterungen und Plugins können Spam an die Benutzer weiterleiten, Benutzereingaben speichern und bösartige Nutzdaten über den Browser einspeisen. Die sehr große Zahl der verfügbaren Erweiterungen macht es fast unmöglich, zu erkennen, was sicher ist und was nicht.
Wie man sich vor bösartigen Browser-Erweiterungen schützt
Eine Mischung aus technischen und sozialen Kontrollen kann bösartige Erweiterungen von den Browsern der Nutzer fernhalten:
- Erlauben Sie Ihren Mitarbeitern nicht, Browser-Erweiterungen oder Plug-ins auf Firmengeräten zu installieren. Der Nutzen, den eine Erweiterung bietet, übersteigt selten den potenziellen Schaden eines Angriffs.
- Verpflichten Sie Ihre Mitarbeiter, nur einen Unternehmensbrowser zu verwenden. Mit dieser Kontrolle können Unternehmen die Installation von Erweiterungen blockieren.
- Verwenden Sie ein Tool zur Überprüfung einzelner Browser-Erweiterungen. Wenn das Unternehmen seinen Mitarbeitern erlaubt, Erweiterungen zu installieren, sollten Sie ein Tool einsetzen, mit dem Sie Browser-Erweiterungen oder Plug-ins auf ihre Sicherheit hin überprüfen können.
3. Session Hijacking (Übernahme von Browsersitzungen)
Jedes Mal, wenn ein Benutzer eine Website oder Webanwendung besucht, weist der Server, der die Seiten bereitstellt, dem Besuch eine eindeutige Sitzungs-ID zu. Während einer vorher festgelegten Sitzungsdauer - ob sie nun fünf Minuten oder einen Tag dauert - wird diese ID zwischen dem Browser und dem Server ausgetauscht, um sicherzustellen, dass die Sitzung gültig und rechtmäßig bleibt. Wenn diese ID aus irgendeinem Grund nicht verschlüsselt ist, könnte die Browsersitzung von einer böswilligen dritten Partei abgefangen werden. Dieser kann die Sitzungs-ID auf seinen Browser anwenden und sich als der rechtmäßige Benutzer ausgeben. Von hier aus könnte der Angreifer persönliche Informationen stehlen, das Gerät des Benutzers mit Malware infizieren oder einen DDoS-Angriff von dieser Sitzung aus durchführen.
Wie man Session Hijacking verhindert
Die Verwaltung von Benutzern und Systemen zur Verhinderung eines Session-Hijacking-Angriffs kann durch folgende Maßnahmen erfolgen:
- Verwenden Sie HTTPS, um die zwischen dem Browser und dem Webserver ausgetauschten Daten zu verschlüsseln.
- Setzen Sie strenge Passwortrichtlinien durch und erzwingen Sie eine mehrstufige Authentifizierung (MFA).
- Verwenden Sie ein VPN oder alternative Ansätze, um die Sitzungen der Mitarbeiter zu verschlüsseln, wenn diese über öffentliches WLAN oder außerhalb des Unternehmensnetzes auf das Internet zugreifen.
- Regelmäßige Aktualisierung und Verwaltung von Software und Sicherheits-Patches.
4. DNS Poisoning
Böswillige Angreifer fälschen DNS-Einträge, um einen Benutzer von einer legitimen Website auf eine betrügerische Website umzuleiten. Die Website der Angreifer ist darauf ausgelegt, Anmeldeinformationen abzufangen, persönliche Daten zu stehlen oder eine bösartige Nutzlast über den Browser an den Endpunkt zu senden. Diese Angriffe sind erfolgreich, wenn die gefälschte Website überzeugend wie die legitime Website aussieht. Die Benutzer geben ihre Anmeldedaten ein, oft ohne den Austausch zu bemerken.
Wie man DNS Poisoning verhindert
Einfache Vorsichtsmaßnahmen helfen, DNS Poisoning zu verhindern, darunter die folgenden:
- Schulen Sie die Benutzer, nicht auf verdächtige URLs zu klicken oder E-Mail-Anhänge herunterzuladen und immer zu prüfen, ob ein Link HTTPS ist.
- Verpflichten Sie Ihre Mitarbeiter, ein VPN oder vergleichbare Technologien zu verwenden, wenn sie sich mit dem Internet verbinden und im Internet surfen.
- Implementieren Sie eine Ende-zu-Ende-Datenverschlüsselung.
- Löschen Sie den DNS-Cache nach einem vermuteten DNS-Poisoning-Angriff.
5. Man-in-the-Middle-Angriff (MitM)
Bei einem MitM-Angriff schalten sich Cyberangreifer zwischen eine Webanwendung oder Website und den Browser eines Benutzers. Sie können dann die Kommunikation zwischen dem Benutzer und der Website abhören, um Informationen wie Anmeldedaten zu sammeln. Bei MitM-Angriffen werden IP-, DNS- und Adressauflösungsprotokolle gefälscht, um die Kommunikation zwischen den beiden Parteien abzuhören. Der MitM-Angriff verhindert nicht, dass die Kommunikation ihr Ziel erreicht; der Angreifer sieht, was ausgetauscht wird, und lässt sie weiterlaufen.
Wie man Man-in-the-Middle-Angriffe verhindert
Verschlüsselter, geschützter Internetverkehr hilft, Schäden durch MitM-Angriffe zu verhindern. Gehen Sie außerdem wie folgt vor:
- Verpflichten Sie Ihre Mitarbeiter, VPNs oder Vergleichbares zu verwenden, wenn sie mit dienstlichen Geräten im Internet surfen.
- Legen Sie Richtlinien fest, die die Nutzung öffentlicher WLANs untersagen.
- Nutzen Sie die Public-Key-Infrastruktur, um die Kommunikation verschlüsselt und sicher zu halten.
- Klären Sie die Benutzer auf, nur Websites zu besuchen, die HTTPS verwenden, und darauf zu achten, dass die URL korrekt ist.
- Wo immer möglich, Multifaktor-Authentifizierung einsetzen.