AJAX, nichts als AJAX – und eine neue Sicherheitslücke

Bin am Sonntag nach Nürberg gereist, dann 3 Tage dort geschult und Mittwochabend weiter nach Landshut (zur BSA, wo ich regelmäßig unterrichte). Gleich geht hier der Kurs los. Und nächste Woche bin ich 3 Tage im Taunus am Schulen. Und was? AJAX. Immer wieder AJAX. Das ist eine richtige AJAX-Jahresabschlussralley.

Und in Bezug auf mein geliebtes AJAX zeigt sich aktuell eine massive Lücke in der Konzeption von Antiviren-Software. Diese kann man nämlich mit AJAX überlisten.

Im Grunde ist das Verfahren ganz einfach und eigentlich so naheliegend, dass es mich wundert, warum erst jetzt das Thema aufkommt.

Ein Angreifer eines Rechners benutzt dabei einfach fragmentierten Schadcode, den konventionelle Antiviren-Programme nicht erkennen können. Diese scannen nur vollständige Signaturen. Für Antivirenprogrammen erhält ein Browser unverdächtig wirkendenden Client-Code, der auf einer Webseite eingebettet wird. Ein Javascript lädt dann stückchenweise Schadecode per AJAX nach. Im RAM wird der Schadcode dann zusammengesetzt, was die Erkennung durch Schutzprogramme noch schwieriger macht. Empfangener Schadcode wird dazu einfach in einer Javascript-Variable gespeichert. Mit weiteren Operationen lässt sich daraus ein Script konstruieren und ins DOM einbinden.
Diese so genannte Script Fragmentation funktioniert angeblich Browser-übergreifend, obgleich bisher noch keine Angriffe in der freien Wildbahn bekannt sind.

Es ist zu hoffen, dass die bestehende Schutzkonzepte von Antivirenprogrammen angepasst werden.

Kommentar verfassen