Suchen

Vom Teilnehmer zum Veranstalter per Malware-Script Gefahr im Gruppen-Chat von Meetup

Autor / Redakteur: Christopher Brennan / Stephan Augsten

Das Online-Portal Meetup.com ist hierzulande sehr beliebt – und wird auch während der Corona-Pandemie gerne genutzt, um persönliche oder virtuelle Treffen zu organisieren, Gleichgesinnte zu finden und zu chatten. Das jedoch war bis vor Kurzem nicht ungefährlich.

Firmen zum Thema

Über ein Malware-Script konnten sich Sicherheitsforscher von Checkmarx von Meetup-Teilnehmern zu Mitveranstaltern aufschwingen.
Über ein Malware-Script konnten sich Sicherheitsforscher von Checkmarx von Meetup-Teilnehmern zu Mitveranstaltern aufschwingen.
(Bild: Alexandra_Koch)

Das Security Research Team von Checkmarx hat die Sicherheit mehrerer bekannter Websites überprüft, darunter auch Meetup.com. Über dieses auf der ganzen Welt beliebte Portal tauschen sich Millionen von Nutzern zu unterschiedlichsten Themen aus und verabreden sich zu persönlichen oder virtuellen Treffen.

Die Checkmarx-Experten stießen bei dem Social-Chat-Dienst auf gleich zwei weit verbreitete und äußerst gefährliche Schwachstellen: Cross-Site-Scripting (XSS) und Cross-Site Request Forgery (CSRF). Die Kombination der beiden Sicherheitslücken ermöglichte es den Security-Experten, Scripts in das Chat-Fenster eines Meetup-Events zu injizieren.

Auf diese Weise erhielten die Sicherheitsforscher die volle Kontrolle über virtuelle Veranstaltungen. Hatte sich das Research-Team einmal Organisatorrechte gesichert, konnte es alle Privilegien nutzen, die sonst nur dem Veranstalter vorbehalten sind – und sogar die Zahlungen der Teilnehmer auf beliebige Paypal-Konten umleiten.

Blick ins Detail: Cross-Site Scripting und Cross-Site Request Forgery

Die von Checkmarx dokumentierten XSS- und CSRF-Schwachstellen ließen sich über die Diskussionsfunktionen von Meetup.com ausnutzen. Diese Funktionen sind standardmäßig in allen Meetup-Gruppenchats aktiviert, damit Benutzer in den Diskussionsbereich „ihres“ Meetups posten können.

Im ersten Schritt des fingierten Angriffs nutzen die Security-Experten die XSS-Schwachstelle, um über den Chat ein Schadcode-Skript einzuschleusen. Dieses Script ist dabei für andere Chat-Teilnehmer oder den Administrator vollständig unsichtbar, sodass keiner die Manipulation bemerkt. Das verhindert auch, dass ein potenziell krimineller Nutzer aufgrund seiner Chat-Texte (in diesem Fall Skripte) oder anderer Handlungen enttarnt werden kann.

Das kurze Malware Script wird vom Server an den Webbrowser weitergeleitet und führt ein JavaScript-Popup auf dem Computer jedes Benutzers aus, der die Meetup-Seite besucht. Den Inhalt des Popups kann der Angreifer durch eine entsprechende Code-Zeile steuern, sodass er in den Kontext passt und damit unverdächtig bleibt.

Auf diese Weise lässt sich jedes beliebige JavaScript im Browser eines jeden Benutzers ausführen, der die manipulierte Meetup-Seite besucht – sofern Java aktiviert ist. Es braucht nicht viel Fantasie, um zu erkennen, dass Angreifer diese Schwachstelle auf unterschiedlichste Art und Weise ausnutzen können.

Ernstzunehmendes Angriffsszenario simuliert

Um das enorme Schadenspotenzial einer solchen XSS-Schwachstelle zu demonstrieren, suchten die Checkmarx Experten nach weiteren Sicherheitslücken – und stellten fest, dass die Meetup-Website auch für CSRF-Angriffe anfällig war. Dramatisch, denn XSS und CSRF ließen sich verketten, um den Account der Checkmarx Experten von einem regelmäßigen Meetup-Nutzer zu einem Mitorganisator der Meetup-Veranstaltung zu befördern.

Diese Rechteerhöhung ließ sich ohne jegliche Autorisierung oder Genehmigung durch den wahren Veranstalter durchführen. Cyberkriminelle hätten die Eskalation der Privilegien anschließend missbrauchen können, um etwa alle Mitglieder zu kontaktieren oder Gruppeneinstellungen nach Belieben zu ändern.

Und mehr noch: Unter Verwendung derselben, von Angreifern häufig genutzten Technik entwickelten die Experten anschließend ein zweites Skript, das die in den Meetup-Zahlungseinstellungen hinterlegte Paypal-Adresse durch die E-Mail-Adresse des Angreifers ersetzte.

Im Klartext heißt das: Sämtliche Zahlungen der Teilnehmer wären ab dann unauffällig auf das neue Paypal-Konto transferiert worden. Der rechtmäßige Organisator würde davon nichts bemerken, da er keinerlei Mitteilung darüber erhält, dass die hinterlegte E-Mail-Adresse heimlich geändert wurde.

Meetup schließt die Lücke

Nachdem das Checkmarx Expertenteam die Schwachstellen aufgedeckt und validiert hatte, informierte es das Unternehmen Meetup über die Erkenntnisse. Anschließend arbeitete das Research-Team während des gesamten Behebungsprozesses eng mit Meetup zusammen, bis schließlich alle Schwachstellen gepatcht waren.

Auf die offengelegten Sicherheitslücken reagierte das Unternehmen Meetup wie folgt: „Meetup nimmt Berichte, die seine Datensicherheit betreffen, sehr ernst. Wir schätzen das Engagement von Checkmarx, uns auf die Sicherheitslücken aufmerksam zu machen, damit wir diese untersuchen und weiterverfolgen können. Es gibt keine Hinweise auf Exploits dieser mittlerweile behobenen Sicherheitslücken; sie hatten keine Auswirkungen auf die Konten oder die Datensicherheit der Meetup-User.“

Fazit

Schwachstellen wie diese sind der Grund, warum das Security Research Team von Checkmarx seine Untersuchungen durchführt. Diese Forschungsaktivitäten sind Teil der laufenden Bemühungen, Software-Sicherheit stärker in den Fokus der Anbieter und der Entwickler zu rücken.

Christopher Brennan
Christopher Brennan
(Bild: Checkmarx)

Wenn Entwickler mit bekannten Schwachstellen wie Cross-Site Scripting oder Cross-Site Request Forgery vertraut sind und die etablierten Best Practices für sicheres Coding einhalten, lässt sich das Risikopotenzial nachhaltig minimieren. Alternativ können Unternehmen heute auch ganzheitliche Application-Security-Testing-Lösungen implementieren, um ihren Code durchgehend und automatisiert zu überwachen – und so die Weichen für eine schnelle und sichere Anwendungsentwicklung zu stellen.

* Dr. Christopher Brennan ist Director DACH bei Checkmarx.

(ID:46813234)