{"id":232005,"date":"2020-05-22T22:41:49","date_gmt":"2020-05-22T20:41:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232005"},"modified":"2020-05-23T00:22:40","modified_gmt":"2020-05-22T22:22:40","slug":"kompromittiertes-silktide-cookie-consent-logo-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/22\/kompromittiertes-silktide-cookie-consent-logo-teil-2\/","title":{"rendered":"Kompromittiertes SilkTide Cookie-Consent Logo – Teil 2"},"content":{"rendered":"

[English<\/a>]Im Blog-Beitrag Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a> hatte ich vor einigen Stunden \u00fcber ein Cookie-Consent-Logo auf Amazon AWS berichtet, welches ein Malware-Script ersetzt wurde. Inzwischen habe ich herausgefunden, dass es nicht der Osano Cookie Consent Manager, sondern eine andere, inzwischen eingestellte, L\u00f6sung von SilkTide ist, die kompromittiert wurde. Hier eine Erg\u00e4nzung meiner bisherigen Erkenntnisse, die ich in zwei Beitr\u00e4ge gegliedert habe.<\/p>\n

<\/p>\n

Worum geht es genau?<\/h2>\n

\"\"Angreifer haben wohl ein altes Cookie-Consent-Logo auf Amazon AWS durch ein Malware-Script ersetzt. Ein Blog-Leser hatte mich darauf hingewiesen, dass in seiner Unternehmensumgebung Webseiten wie bwl \u2013 wissen net \/ schulferien org etc. pl\u00f6tzlich Virenschutzwarnungen ausl\u00f6sten. Die URL *https:\/\/s3-eu-west-1.amazonaws.com\/assets.cookieconsent.silktide.com\/cookie-consent-logo.png<\/em> l\u00f6st die nachfolgend gezeigte Warnung des Virenscanners aus.<\/p>\n

\"Alarm<\/p>\n

Ich war der Geschichte nachgegangen und konnte feststellen, dass die ausgelieferte vorgebliche Logo-Datei einen Alarm des Virenscanners ausl\u00f6ste. Den Aufh\u00e4nger f\u00fcr die Geschichte k\u00f6nnt ihr ja im Blog-Beitrag Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a> im Detail nachlesen.<\/p>\n

Alter SilkTide-Code gekapert<\/h2>\n

Im ersten Blog-Blog-Beitrag hatte ich noch gemutma\u00dft, dass eventuell eine alte Version der Osano Cookie Consent-L\u00f6sung<\/a> gekapert wurde. Das hat sich aber als falsche Annahme erwiesen \u2013 Arlo Gilbert, CEO & Co-Founder von Osano hat mich per Mail kontaktiert und folgende Informationen \u00fcbermittelt.<\/p>\n

It is nice to meet you by email. Forgive me, but I do not speak German so I hope that writing you in English is ok.<\/p>\n

Your article about the cookie consent ransomware was great, but the reference to our company Osano is inaccurate. The cookie consent solution that hosted that logo was from a company named SilkTide in the UK and the library was written in 2012. That cookie consent library is not from Osano in the USA.<\/p>\n

Silk Tide stopped development of their cookie consent solution several years ago. We have a partnership with SilkTide whereby they redirect visitors to their legacy open source products to Osano's open source product by redirecting the URL to our pages.<\/p><\/blockquote>\n

Es wird an dieser Stelle durch die Mail von Osano klar, dass deren L\u00f6sung in keiner Weise betroffen ist. Das Problem stellt die inzwischen in der Entwicklung eingestellte SilkTide-L\u00f6sung dar.<\/p>\n

Warum der GitHub-Eintrag gel\u00f6scht wurde<\/h3>\n

Durch die Partnerschaft zwischen SilkTide und Osano, wo SilkTide-Besucher direkt auf die Open Source-L\u00f6sung von Osano umgeleitet werden, kam es zur Verwirrung. Daher erkl\u00e4rt sich auch, warum der Eintrag auf GitHub gel\u00f6scht wurde.<\/p>\n

To be clear, our open source solution is not<\/i> the same code as the library which referenced this attack. The open source code we maintain is different than SilkTide's code. This is also why we deleted the GitHub issue, because it is not<\/i> our open source or<\/u> our commercial cookie consent products that were affected and we do not want to scare our users since the issue is not related to our code.<\/p>\n

When the security researchers mistakenly contacted us, because we care about security in general and because we saw the potential for confusion about who maintains the library, we reached out to AWS abuse and also SilkTide notifying them about the security report. AWS then suspended the account which was hosting this ransomware. If you read the research report, you'll note that the phrase \"Osano\" is not in the URL of the offending image.<\/p><\/blockquote>\n

Was hinter den Kulissen passiert ist<\/h3>\n

Arlo Gilbert hat mir dann in seiner Mail noch seine Vermutung bzw. das, was ihm bekannt ist, zur \u00dcbernahme des Amazon AWS S3 Buckets offen gelegt.<\/p>\n

\n
    \n
  1. Several years ago, SilkTide deleted the bucket which hosted that image after they decommissioned the solution.<\/li>\n
  2. Recently an attacker discovered that the image was broken.<\/li>\n
  3. The attacker created a new S3 bucket with the same name on AWS.<\/li>\n
  4. The attacker uploaded an executable file in the path of the image file on this new bucket.<\/li>\n<\/ol>\n<\/blockquote>\n

    Die Leute von SilkTide haben das Amazon AWS S3 Bucket vor einigen Jahren gek\u00fcndigt. Offenbar haben Cyber-Kriminelle sofort bemerkt, dass dieses SilkTide S3 Bucket dekommissioniert wurde. Die Leute haben ein neues S3 Bucket mit dem gleichen Namen auf Amazons AWS angelegt und dort den kopierten Code ver\u00f6ffentlicht. Da sie Kontrolle \u00fcber das S3 Bucket besitzen, konnten sie immer mal wieder Dateien austauschen.<\/p>\n

    Arlo Gilbert vergleicht den Angriff mit der Registrierung einer aufgegebenen Domain durch einen b\u00f6swilligen Angreifer. Zum gel\u00f6schten GitHub Issues-Eintrag hat Gilbert mir auch eine Erkl\u00e4rung geliefert. Ein Benutzer hatte dort ja einen Hinweis mit dem Link auf die manipulierte .png-Logo-Datei gepostet<\/p>\n

    Our team quickly reviewed the report that the researchers provided, and although it is bad what happened, my understanding is that the image src would not execute the file, it would still show as a broken image and would trigger anti-virus warnings. The only way the executable would load is if a user downloaded the .png file, changed the extension to .exe, and then opened the .exe file. So while you are correct that this is a security issue, there is no evidence that any user was affected by this and although we helped solve the problem, we were not part of the problem.<\/p><\/blockquote>\n

    Bez\u00fcglich der Sicherheitseinsch\u00e4tzung, dass die durch eine Datei, die Scripte enth\u00e4lt, ersetzte .png-Datei nicht ausgef\u00fchrt werden kann: Da fehlt mir aktuell das Wissen, um diesen Schluss zu best\u00e4tigen oder zu widerlegen. Mir sind noch F\u00e4lle erinnerlich, wo Schadcode Scripte in Dateien eingebettet wurde, im Wissen, dass Fehler in Anzeigeprogrammen dann genau diesen Code ungewollt ausf\u00fchrten. Es ist jedenfalls eine ungute und potentiell riskante Situation.<\/p>\n

    Artikelreihe<\/strong>
    \n    Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a>
    \n    Kompromittiertes SilkTide Cookie-Consent Logo<\/a>\u00a0\u2013 Teil 2
    \n    Kompromittiertes SilkTide Cookie-Consent Logo<\/a> \u2013 Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Im Blog-Beitrag Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo hatte ich vor einigen Stunden \u00fcber ein Cookie-Consent-Logo auf Amazon AWS berichtet, welches ein Malware-Script ersetzt wurde. Inzwischen habe ich herausgefunden, dass es nicht der Osano Cookie Consent Manager, sondern eine andere, inzwischen eingestellte, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-232005","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232005","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232005"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232005\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232005"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232005"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232005"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}