Salesforce.com patcht Cross-Site-Scripting-Leck

Salesforce.com (Bild: Salesforce)

Über ein Leck in einer Subdomain konnten Angreifer Phishing-Attacken durchführen, Malware installieren oder auch den Account kapern. Über ein SSO waren auch verschiedene Anwendungen betroffen.

Salesforce.com behebt ein Leck in einer Subdomain. Über eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer Accounts übernehmen, Phishing-Attacken durchführen oder auch bösartigen Code installieren.

Das Leck wurde von dem Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs in einem Blog veröffentlicht. Sood hatte das Leck jedoch bereits vor einem Monat an Salesforce.com gemeldet und der Hersteller hat es zwischenzeitlich behoben.

Die Sicherheitslücke betraf die Subdomain admin.salesforce.com, daher sei das Leck auch etwas weniger kritisch. Dennoch: Hacker konnten durch die vertrauenswürdige Domain Nutzer in Sicherheit wiegen und dazu bringen, ihre Nutzerdaten einzugeben.

Der Fehler kam dadurch zu Stande, dass eine bestimmte Funktion in einer installierten Anwendung, die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterten. Dadurch, so erklärt Sood, sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuheben.

Login-Promt auf admin.salesforce.com mit XSS-Leck. (Bild: Elastica)
Login-Promt auf admin.salesforce.com mit XSS-Leck. (Bild: Elastica)

“Dazu kommt, dass alle Salesforce-Accounts für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on für die Verwaltung von verschiedenen Accounts verwendet”, erklärt der Sicherheitsforscher in seinem Blog. Dadurch waren auch Cloud-Anwendungen von dem Leck betroffen.

Um das Leck auszunutzen musste ein Hacker ein Popup erstellen, das den Salesforce-Login nachahmt und dabei konnte er Remote über das XSS-Leck den JavaScript-Code einfügen. Damit loggte sich der Nutzer in seinem echten Salesforce.com-Account ein. Seine Nutzerdaten jedoch wurden dabei an einen Server des Angreifers geschickt.

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse

Loading ... Loading ...