Die Cloud-Anwendungsplattform Google
App Engine kann laut Sicherheitsforschern aktiv zum Hosten von
Websites, welche mit schädlichen Web-Apps präpariert sind,
missbraucht werden. Online-Kriminelle könnten solche Apps etwa
zum Phishing oder zur Auslieferung weiterer Malware im Kontext von
Command-and-Control-Infrastrukturen missbrauchen.
Ein Feature des Cloud Service, welcher eigentlich für die
Entwicklung und Bereitstellung von Webanwendungen ausgelegt ist,
macht ihn für Kriminelle besonders attraktiv: Nahezu beliebig
viele gültige Links können im Kontext einer einzigen hinzugefügten
App generiert werden. So wird ein unkompliziertes Austricksen von
Blacklisting-Mechanismen möglich.
Wird eine neue App angelegt, so generiert die Google App Engine
eine neue appspot.com-Subdomain. Die Dienste innerhalb der App erhalten
als Komponenten später jeweils eine eigene Subdomain, welche
die Version und den Namen des jeweiligen Dienstes mit den statischen
IDs für Projekt und Region kombiniert. Laut
eines Blogeintrags des Sicherheitsforschers Marcel Afrahim leiten
Google App Engine URLs, welche auf nicht vorhandene Versionen oder
Services verweisen, mithilfe eines "Soft-Routing"-Mechanismus
zur ursprünglichen Subdomain ds Projekts und somit auf eine
zuvor festgelegte Default-Version der App. Dieses Verhalten ermöglicht
Angreifern die Generierung beliebig vieler URLs für jede angelegte
App.
Klassische Sicherheits-Tools und -Plugins können diese Angriffstrategie
nicht erkennen - so Afrahim. Nutzer sollten Links zu appspot.com-Subdomains
daher mit Vorsicht behandeln. Laut
einem Tweet des Sicherheitsforschers Yusuke Osumi sind diese
etwa bereits in einer Microsoft-bezogenen Phishing-Kampagne im Umlauf.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|