Cross-Site Request Forgery – die unterschätzte Gefahr

Cross-Site Request Forgery (CSRF) kann gar nicht richtig beachtet werden, weil die Security Software diese Gefahrenquelle oft überhaupt nicht kennt.

Laut Security-Spezialisten aus den USA wird die Frage bei den Herstellern zuwenig beachtet. Und die Anwender würden diese Mißachtung zunehmend ausbaden müssen, hieß es. Zwar sei die Häufigkeit der Attacken niedrig und erfolgreiche Angriffe selten – doch die Hacker, die es schaffen, können immensen Schaden anrichten.

Demnach ist CSRF eine neue Spielart, die malicious Sites betrifft. Harmlose und vertrauenswürdige Sites können von Hackern manipuliert werden – allerdings nur während ein Nutzer auf der Site ist, sich zu einem Downlink bösartiger Software überreden lässt und das Browserfenster während des Einbruchs offen lässt. Es kann auch HTML-Code eingefügt werden, der dafür sorgt, dass der arglose Besucher automatisiert angegriffen und sein Besuch manipuliert wird. Bei ihren Versuchen schafften es die Sicherheitsforscher von Aspect Security beispielsweise, zu Testzwecken Geld von einem Konto zu stehlen. Dort wird die Gefahr als reell betrachtet. Es sei einfach gewesen, hieß es.

Doch da sind die Hersteller von Unified Threat Management Software weitestgehend anderer Meinung. Sie sprechen davon, dass die Zusammenkunft so vieler einzelner Faktoren und Bedingungen einen CSRF-Angriff nahezu unmöglich mache. Als einer der ersten Security-Firmen hat jetzt die israelische Check Point Software reagiert und ihre Software auf CSRF-Fehler untersucht. Die Produktreihe ‘Safe@Office UTM’ sei anfällig für den Fehler gewesen und daraufhin gegen CSRF gepatcht worden, hieß es. CSRF ist aber nicht nur für Nutzer ein Problem – bis eine solche Attacke nachgewiesen ist, könnte auch der Betreiber einer Corporate Website beschuldigt werden und zumindest Schaden an seinem Image nehmen.