Firefox-Exploit lädt sensible Dateien auf fremde Server

Alexander Trust, den 7. August 2015
Firefox
Firefox, Bild: Mozilla

Ein sogenanntes 0-Day-Exploit wurde auf einer Webseite in Russland entdeckt, um sowohl Windows- als auch Linux-Systeme zu kompromittieren und eine Reihe sensibler Daten zu entwenden. Den Nutzern wird empfohlen Passwörter der betroffenen Tools zu ändern. Einfallstor sind Javascript und der PDFViewer. Ein Update gibt es bereits.

Sensible Dateien entwendet

Daniel Veditz hat im Mozilla Security Blog auf einen 0-Day-Exploit hingewiesen, der eine Lücke im Zusammenspiel mit Javascript und dem Firefox PDF Viewer ausnutzt. Der Exploit führt keinen Code auf dem Rechner aus, sondern macht sich eine Schwachstelle zu nutze, um Dateien des Nutzers auf fremde Server zu laden. Diese Dateien enthalten sensible Daten wie Passwörter und waren sehr spezifisch auf einen Programmierkontext ausgerichtet.

Auf Windows-System hat der Exploit nach Subversion, dem S3Browser und Filezilla gesucht und deren Konfigurationsdateien, sowie .purple und Psi+ Account-Informationen und nach Konfigurationsdateien von acht beliebten FTP-Programmen. Auf Linux-Systemen hingegen suchte der Exploit nach globalen Konfigurationsdateien wie „/etc/passwd“. Außerdem wurde in Nutzerordnern nach den Dateien „.bash_history“, „.mysql_history“, „.pgsql_history“, sowie „.ssh“-Konfigurationsdateien und -Schlüssel, und ebenfalls Konfigurationsdateien von Remina, Filezilla und Psi+ gesucht und Textdateien mit „pass“ oder „access“ in ihren Namen, sowie allen Shellscripten. Mac-Nutzer sind derzeit nicht betroffen, könnten es jedoch sein, wenn die Angreifer den Payload anpassen.

Seitens Mozilla hat man Updates für Firefox 39.0.3 und ESR 38.1.1 ausgeliefert und empfiehlt Nutzern, die Passwörter in den vorgenannten Dateien zu ändern, also ebenfalls auf FTP-Servern und in MySQL-Datenbanken, etc.

Unklar wie viele Betroffene es gibt

Zwar wurde der Exploit auf einer Webseite in Russland gefunden, in Form eines Werbebanners, doch ist nicht auszuschließen, dass diese Werbung auch anderswo gezeigt wurde. Unklar ist außerdem, ob Adblocker die Nutzer vor dem Angriff geschützt haben, wie Daniel Veditz von Mozilla schreibt.


Ähnliche Nachrichten