Salesforce.com flickt Cross-Site-Scripting-Lücke

Sie steckte in der für einen Blog genutzten Subdomain admin.salesforce.com. Code ließ sich auch von anderen Websites injizieren. Angreifer konnten etwa ein Salesforce-Log-in nachbauen und den Link darauf per Phishing verbreiten, um an Daten zu kommen.

Salesforce.com hat eine Schwachstelle in einer Subdomain ausgebügelt. Eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer für Phishing-Attacken missbrauchen, mit dem Ziel, Konten zu übernehmen oder auch bösartigen Code zu installieren. Dies entdeckte der Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs und meldete es Salesforce vor rund einem Monat.

Salesforce (Bild: Salesforce)Sood liefert die Details jetzt in seinem Blog, da keine Gefahr für Salesforce-Nutzer mehr besteht. Demnach steckte das Leck in der für einen Blog genutzten Subdomain admin.salesforce.com, was es etwas weniger kritisch machte. Hacker konnten immerhin die vertrauenswürdige Domain nutzen, um ihre Opfer in Sicherheit zu wiegen und sie etwa dazu zu bringen, ihre Zugangsdaten erneut einzugeben.

JavaScript-Code konnte zur Ausführung auf dem Rechner des Opfers auch von Websites Dritter geladen werden. Mit ihm ließ sich beispielsweise ein Download anstoßen.

Der Fehler kam dadurch zustande, dass eine bestimmte Funktion in einer installierten Anwendung die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterte. Sood schreibt, dadurch sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuhebeln. „Dazu kommt, dass alle Salesforce-Konten für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on nutzt.“

Als Beispiel führt der Sicherheitsforscher eine Phishing-Kampagne vor, die das Salesforce-Log-in nachahmt. Der Anwender wird per Mail aufgefordert, sich bei Salesforce einzuloggen. Nutzt er dafür den in der Mail enthaltenen Link, kommt er zwar auf die Domain admin.salesforce.com, die Nutzerdaten führen aber nicht zu einem Log-in, sondern werden von dem präpaierten, mit XSS eingeschleusten Skript an einen Server des Angreifers gesandt.

Nachgebautes und per XSS injiziertes Salesforce-Log-in (Bild: Elastica)Nachgebautes und per XSS injiziertes Salesforce-Log-in (Bild: Elastica)

[mit Material von Martin Schindler, silicon.de]

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse anzeigen

Loading ... Loading ...

Themenseiten: Cloud-Computing, Salesforce.com, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Salesforce.com flickt Cross-Site-Scripting-Lücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *