Salesforce.com behebt ein Leck in einer Subdomain. Über eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer Accounts übernehmen, Phishing-Attacken durchführen oder auch bösartigen Code installieren.
Das Leck wurde von dem Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs in einem Blog veröffentlicht. Sood hatte das Leck jedoch bereits vor einem Monat an Salesforce.com gemeldet und der Hersteller hat es zwischenzeitlich behoben.
Die Sicherheitslücke betraf die Subdomain admin.salesforce.com, daher sei das Leck auch etwas weniger kritisch. Dennoch: Hacker konnten durch die vertrauenswürdige Domain Nutzer in Sicherheit wiegen und dazu bringen, ihre Nutzerdaten einzugeben.
Der Fehler kam dadurch zu Stande, dass eine bestimmte Funktion in einer installierten Anwendung, die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterten. Dadurch, so erklärt Sood, sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuheben.
“Dazu kommt, dass alle Salesforce-Accounts für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on für die Verwaltung von verschiedenen Accounts verwendet”, erklärt der Sicherheitsforscher in seinem Blog. Dadurch waren auch Cloud-Anwendungen von dem Leck betroffen.
Um das Leck auszunutzen musste ein Hacker ein Popup erstellen, das den Salesforce-Login nachahmt und dabei konnte er Remote über das XSS-Leck den JavaScript-Code einfügen. Damit loggte sich der Nutzer in seinem echten Salesforce.com-Account ein. Seine Nutzerdaten jedoch wurden dabei an einen Server des Angreifers geschickt.
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.