Session-Riding gefährdet ahnungslose Websurfer

Der Code besteht entweder aus Klartext oder er ist codiert und demnach verschleiert.
Unsere Scanner haben diese Injektion als HTML:Script-inf erkannt und dementsprechend werden G DATA-Nutzer mit HTTP-Filter sofort gewarnt, wenn sie eine solche infizierte Website besuchen.

Das JavaScript wurde mit den unterschiedlichsten Namen auf verschiedenen Servern gefunden. Bei der Ausführung versucht das aktuellste Script Informationen über den Browser des Besuchers zu erhalten und stiehlt anschließend alle Sitzungs-Cookies aus den jeweiligen Verzeichnissen des Computers.
Die Scan-Engines von G DATA haben das aktuellste JavaScript als Trojan.JS.Iframe.BDV und JS:Iframe-FP [Trj] erkannt.

Ein Beispiel: Angenommen die Angreifer hätten den besagten Script-Code in eine Website mit Online-Shopping-Möglichkeiten injiziert. Ein ahnungsloser Besucher besucht die Website und meldet sich im Shop an, während das verknüpfte bösartige JavaScript ausgeführt wird. Die Angreifer können nun das Sitzungs-Cookie mit dem aktiven Shopping-Konto stehlen und als aktueller Besucher agieren. Sie können also Waren und dergleichen bestellen, ohne dass der Benutzer das bemerkt.

Tatsache ist, dass die Angreifer so ziemlich alles auf die gehackte Website hochladen können, solange für sie die Möglichkeit besteht, sich anzumelden. Es gibt vielfältige Möglichkeiten, für die die Angreifer den Server missbrauchen können. Sie können den Server z. B. dazu nutzen, um Weiterleitungs-Scripte zu injizieren oder Malware hochzuladen und den Server dementsprechend als Malware-Host einzusetzen usw.

Es gibt zahlreiche Möglichkeiten, wie sich die Angreifer Zugang zu Website-Management-Systemen verschaffen können. In letzter Zeit gab es zahlreiche Berichte zu ausgenutzten Sicherheitslücken in Content-Management-Systemen, die zu Code-Injektionen und gefährlichen Situationen geführt haben. Erinnern Sie sich an die tickende Zeitbombe auf gehackten WordPress-Seiten?
Viele der infizierten Seiten, die wir beobachtet haben, verwenden zwar beliebte kostenlose CMS-Lösungen wie WordPress oder Joomla, zahlreiche andere jedoch nicht. Deshalb vermuten wir, dass die Quelle allen Übels eine andere ist …

Nach unserem heutigen Wissensstand scheint es am wahrscheinlichsten zu sein, dass die Computer von Nutzern, die Websites verwalten, mit Passwortdiebstahl-Malware infiziert sind, die den Angreifern die notwendigen Daten (insbesondere FTP-Passwörter) bereitstellt, um sich Zugang zu den Websites zu verschaffen.

Wie wichtig es ist, seinen Computer effizient zu schützen, wurde bereits mehrfach erläutert, insbesondere aufgrund der Tatsache, dass ein infizierter Computer tausende weitere infizieren kann: Die Angreifer verschaffen sich Zugang zu Website-Management-Systemen und injizieren Code in die Websites, der den Nutzern Schaden zufügt.

• Um Ihre Website zu schützen, sollte Ihr Website-Management-System immer auf dem neuesten Stand sein. Installieren Sie die aktuellste Software von der Entwickler-Website.
• Das gleiche gilt für alle verwendeten Plug-Ins und Themes Ihrer Websites.
• Wenn es sich um Ihren eigenen Webserver handelt, müssen Sie sicherstellen, dass dieser auf dem neuesten Stand und gesichert ist. Sollten Sie Webspace auf einem Remote-Server angemietet haben, dann wenden Sie sich an Ihren Provider, um sich über das Problem zu informieren.
• Stellen Sie sicher, dass für alle Accounts (CMS, FTP usw.) keine leicht zu erratenden Passwörter verwendet werden. Ein Administrator-Account sollte nicht den Benutzernamen “admin” erhalten und jeder Account muss über ein eindeutiges, ausreichend sicheres Passwort verfügen. Erfahren Sie mehr zu sicheren Passwörtern.
• Deaktivieren bzw. löschen Sie inaktive Accounts Ihrer Website-Management-Systeme.
• Scannen und überwachen Sie alle Computer, die Zugang zu Ihren Website-Management-Systemen haben, mit umfassenden Sicherheitslösungen, um Infektionen mit (Passwortdiebstahl-)Malware zu verhindern.