![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die in Browsern verwendeten Adblock Plus Filter k\u00f6nnen ein Einfallstor f\u00fcr Schadsoftware oder Manipulationen sein, die nur schwer erkennbar sind. So die neueste Erkenntnis eines Sicherheitsforschers, der das Ganze jetzt offen gelegt hat. Nutzer sollten reagieren.<\/p>\n
<\/p>\n
Sicherheitsforscher Armin Sebastian ist auf die potentielle Schwachstelle in den Adblock Plus Filtern durch das Redirect gesto\u00dfen, die er hier detailliert beschrieben<\/a> hat. Unter bestimmten Bedingungen erm\u00f6glicht die Filteroption $rewrite den Betreuern von Filterlisten, beliebigen Code in Webseiten einzuf\u00fcgen.<\/p>\n Die betroffenen Adblocker-Erweiterungen f\u00fcr Browser haben mehr als 100 Millionen aktive Benutzer. Andererseits ist die Redirect-Funktion trivial auszunutzen. Dabei kann man jeden ausreichend komplexen Webservice, einschlie\u00dflich Google-Services, angreifen. Andererseits sind Angriffe nur schwer zu erkennen und Erkennungsfunktionen lassen sich in allen g\u00e4ngigen Browsern kaum implementieren.<\/p>\n Armin Sebastian schreibt, dass er die Informationen und Details der Exploit-Kette 'In Anbetracht der Art und der Auswirkungen der aufgedeckten Schwachstellen und angesichts der Tatsache, dass in der Vergangenheit Filterlisten f\u00fcr politisch motivierte Angriffe verwendet wurden' offengelegt. Er hofft, dass dies schnellstm\u00f6gliche Abhilfema\u00dfnahmen in den betroffenen Browser-Erweiterungen und Webservices gew\u00e4hrleistet.<\/p>\n Die Filteroption $rewrite wird von einigen Werbeblockern verwendet, um Tracking-Daten zu entfernen und Anzeigen durch Umleitung von Anfragen zu blockieren. Die Option erlaubt das Rewrite nur innerhalb derselben Herkunft, und Anforderungen der Typen SCRIPT, SUBDOCUMENT, OBJECT und OBJECT_SUBREQUEST werden nicht verarbeitet.<\/p>\n Armin Sebastian schreibt, dass jedoch Webservices mit Hilfe dieser Filteroption genutzt werden k\u00f6nnen, wenn sie mit XMLHttpRequest oder Fetch Codeausschnitte zur Ausf\u00fchrung herunterladen, w\u00e4hrend Anfragen beliebiger Herkunft erlaubt sind und ein serverseitiges offenes Redirect bereitgestellt wird.<\/p>\n Andererseits aktualisieren die Erweiterungen die Filter regelm\u00e4\u00dfig, wobei die Intervalle von den Filterlistenbetreibern festgelegt werden. Angriffe sind schwer zu erkennen, da der Ersteller der Filterliste eine kurze Ablaufzeit f\u00fcr definieren kann. So lie\u00dfe sich die Liste der b\u00f6sartigen Filter kurz aktivieren und danach durch eine gutartige Filterliste ersetzen \u2013 die Spuren w\u00e4ren verwischt. Die erm\u00f6glicht Angriffe auf Unternehmen und Einzelpersonen auf der Grundlage von IP-Adressen, von denen die Updates der Filterlisten jeweils angefordert werden.<\/p>\n Armin Sebastian formuliert folgende Bedingungen, die f\u00fcr einen erfolgreichen Manipulationsversuch erf\u00fcllt sein m\u00fcssen:<\/p>\n Die Organisationen, die Filterlisten pflegen, k\u00f6nnen dann ein solches Regel-Update liefern, was so aussehen k\u00f6nnte:<\/p>\n Die obige Regel leitet die Zielanfrage an den Suchdienst I'm Feeling Lucky von Google weiter, der dann zu einer Seite mit der Nutzdaten: alert(document.domain) <\/em>umgeleitet wird. Armin Sebastian hat das Ganze an Google berichtet \u2013 die schreiben jedoch, dass dieses Redirect ein beabsichtigtes Verhalten sei und hat den 'Fall' geschlossen, da es kein Sicherheitsproblem darstelle. Ich bin nicht so in der Thematik drin, aber die Argumentation des Sicherheitsforschers leuchtet mir ein \u2013 und F\u00e4lle, wo Seiten von staatlichen Seiten blockiert wurden, gab es ja schon.<\/p>\n Im Blog-Beitrag<\/a> gibt Armin Sebastian noch weitere Hinweise und empfiehlt Adblock Plus, die $rewrite Filterfunktion zu entfernen. Benutzer k\u00f6nnen auch zu uBlock Origin wechseln, welches die $rewrite Filteroption nicht unterst\u00fctzt und ist nicht anf\u00e4llig f\u00fcr den beschriebenen Angriff ist. Bleeping Computer hat hier<\/a> noch ein paar Informationen und Beispiele ver\u00f6ffentlicht.<\/p>\n Anbieter von AdBlock Plus hat mir bereits auf Twitter folgende Antwort gegeben:<\/p>\n Wir arbeiten bereits daran, jegliches Risiko auszur\u00e4umen. Hier unser Statement (auf Englisch): https:\/\/t.co\/Kcl0sItrjE<\/a><\/p>\n \u2014 Adblock Plus (@AdblockPlus) 16. April 2019<\/a><\/p><\/blockquote>\nAm 17. Juli 2018 wurde eine neue Version 3.2 von des Werbeblockers Adblock Plus ver\u00f6ffentlicht. Mit der Version 3.2 wurde eine neue Filteroption zum Umschreiben (Redirect) von Anforderungen eingef\u00fchrt. Einen Tag sp\u00e4ter folgte AdBlock und gab den Support f\u00fcr die neue Filteroption frei. uBlock, das zu AdBlock geh\u00f6rt, implementierte auch das Feature. Nun bin ich bin bei Bleeping Computer<\/a> auf das Sicherheitsrisiko dieser Neuerung aufmerksam geworden.<\/p>\n
![\"KRITIS-Netzwerk\"](\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" "\\"KRITIS-Netzwerk\\"")
\n(Quelle: Pexels Markus Spiske<\/a> CC0 Lizenz)<\/p>\nDer Angriff<\/h2>\n
\n
\/^https:\/\/www.google.com\/maps\/_\/js\/k=.*\/m=pw\/.*\/rs=.*\/$rewrite=\/search?hl=en-US&source=hp&biw=&bih=&q=majestic-ramsons.herokuapp.com&btnI=I%27m+Feeling+Lucky&gbv=1<\/code><\/pre>\nErg\u00e4nzung: R\u00fcckmeldung von Anbieter<\/h2>\n
\n