Dank erbeutetem Passwort: Hacker erhielt Zugang zu Dutzenden Firefox-Lecks
Das entwendete Kennwort ließ sich einem privilegierten Konto des Bug-Trackers Bugzilla zuordnen. Der Angreifer gelangte auf diese Weise an geheime Informationen zu Browser-Schwachstellen und nutzte zumindest eine von ihnen für einen Exploit aus. Mit Firefox-Version 40.0.3 wurden mittlerweile aber alle fraglichen Lücken geschlossen.
Mozilla hat zugegeben, dass ein unbekannter Hacker sich Zugriff auf eine Sammlung Firefox-Fehler verschafft und zumindest eine der darin aufgeführten Sicherheitslecks für einen Exploit ausgenutzt hat. In diesem Fall gelang ihm die Infiltration nicht wegen einer Schwachstelle, sondern indem er sich ein Bugzilla-Kennwort eines dafür berechtigten Nutzers besorgte.
Bei Bugzilla handelt es sich um einen webbasierenden Tracker, der Entwicklern und Sicherheitsspezialisten das Nachverfolgen von Fehlern in Mozillas Produkten ermöglicht. Die Mehrzahl der Plattformdaten sind zwar öffentlich zugänglich, sicherheitsrelevante Informationen – wie Enthüllungen zu kritischen Schwachstellen – jedoch nur für die Augen von Anwendern mit erhöhten Benutzerrechten vorgesehen.
Mozilla hat im Sinne der Transparenz aber jetzt eingeräumt, dass es einem Angreifer gelungen ist, diese Informationen zu entwenden, um auf deren Basis Firefox-Anwender zu attackieren. Das Unternehmen informierte am Freitag in einem Blogbeitrag, dass ein privilegierter Benutzeraccount kompromittiert wurde. Dies erlaubte dem Hacker den Diebstahl von Informationen zu einer Schwachstelle, die die Ausführung von JavaScript-Payloads in lokalen Dateien möglich macht, was unter Umständen zum Verlust persönlicher Daten führt.
Die fragliche Anfälligkeit wurde Mozilla zufolge schon am 6. August behoben, allerdings nicht bevor sie ausgenutzt werden konnte. Alles in allem bekam der Hacker Zugang zu 185 nicht öffentlichen Bugs, darunter 22 kleinere und 53 gravierende Lücken. Die übrigen 110 wurden “aus anderen Gründen als der Software-Sicherheit unter Verschluss gehalten”.
Laut Mozilla existiert kein Beweis dafür, dass andere Bugzilla-Informationen gegen Firefox-Anwender eingesetzt wurden. Mit dem Ende August freigegebenen Firefox 40.0.3 habe man alle Sicherheitslecks abgedichtet, von welchen der Angreifer durch den Zugang zu den Bugzilla-Daten erfahren habe und die er hätte ausnutzen können.
An das Passwort selbst gelangte der Angreifer nach Ansicht von Mozilla durch eine Datenpanne bei einer anderen nicht namentlich genannten Website. Der unautorisierte Zugang reiche bis September 2014 zurück, könnte Mozilla zufolge aber bereits ein Jahr vorher erlangt worden sein. Das Unternehmen hat das betroffene Konto mittlerweile geschlossen und die zuständigen Strafverfolgungsbehörden informiert.
Gleichzeitig kündigte es verbesserte Sicherheitsmaßnahmen für Bugzilla an. Berechtigte Benutzer müssen ihr Passwort ändern und ab sofort die Zwei-Faktor-Authentifizierung aktivieren. Außerdem verringert Mozilla die Zahl der Nutzer mit erweiterten Benutzerrechten und limitiert jeden Account. Dadurch reduzieren sich auch die potenziellen Angriffsziele und die Optionen für Angreifer, die sich Zugriff auf ein Bugzilla-Konto verschaffen.
[mit Material von Björn Greif, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Firefox aus? Testen Sie Ihr Wissen – mit 12 Fragen auf ITespresso.de. –>Tipp: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.