Salesforce-Konten von Malware betroffen

Andre Borbe,

Eine neue Variante des Zeus-Trojaners kann Anmeldedaten für Salesforce.com ausspionieren und Unternehmensdaten entwenden. Die Malware wird nur aktiviert, wenn der Nutzer-Zugriff von außerhalb des Firmennetzwerks auf Salesforce.com erfolgt. Somit können die Angreifer die Sicherheitsmaßnahmen im Unternehmen überwinden.

Eine neue Variante des Banking-Trojaners Zeus ist momentan im Umlauf. Davor warnt das Sicherheitsunternehmen Adallom. Die Malware richtet sich gegen Software-as-a-Service-Applikationen (SaaS). Laut Adallom wurde sie bereits vor einigen Wochen entdeckt. Sie kann Anmeldedaten für Salesforce.com-Konten entwenden.

salesforce-logo-250x196Die neue Variante wird Adallom Labs zufolge durch bestimmte Computeraktivitäten ausgelöst. Das Sicherheitsunternehmen bezeichnet solch eine Schadsoftware als “Landmine”. Bei einer Untersuchung sei bemerkt worden, dass in kürzester Zeit mehrere hundert Dateien von einem Mitarbeiter eines Unternehmens aufgerufen wurde. Er nutzte einen Computer mit Windows XP und eine ungepatchte Version des Internet Explorer. Bei der Überprüfung des PCs, den der Mitarbeiter auch zu Hause verwendet habe, sei eine Variante des Zeus-Trojaners entdeckt worden, erklärt das Sicherheitsunternehmen. Sobald der Mitarbeiter sich bei “my.salesforce.com” angemeldet habe, begann die Malware Daten aus der laufenden Salesforce-Sitzung herunterzuladen. Sie soll auch das vollständige Salesforce-Konto in Echtzeit durchsuchen und sämtliche Daten aus dem Firmenkonto stehlen können.

“Das ist das erste Mal, dass diese mächtige, wenngleich auch veraltete Waffe gegen SaaS-Konten eines Unternehmens eingesetzt wurde, wodurch Schwächen in den gegenwärtigen Sicherheitskontrollen aufgedeckt wurden, wenn Angriffe von außerhalb des Unternehmens erfolgen”, schreiben die Sicherheitsforscher in einem Blog. “Auch wenn sich dieser Angriff gegen Salesforce-Nutzer richtete, ist es wichtig zu beachten, dass jede SaaS-basierte Applikation auf diese einfache Weise angegriffen werden kann, wobei alle Sicherheitskontrollen umgangen werden.”

Es handle sich nicht um eine Sicherheitslücke in Salesforce.com, betont Adallom Labs. Noch unklar ist, wie der Rechner des Mitarbeiters mit der Schadsoftware infiziert wurde. Die Kriminellen konnten durch den Angriff alle Sicherheitsmaßnahmen des Firmennetzwerks umgehen. Sie nutzten dafür die Gewohnheit, dass man im SaaS-Bereich von überall aus und mit jedem Gerät auf Firmenanwendungen zugreift.

“Ich kann nur zu dem Schluss kommen, dass Firmen die Tatsache, dass mit SaaS auch BYOD kommt, entweder ignorieren oder nicht wahrnehmen”, zitiert Dark Reading Ami Luttwak, Gründer und CTO von Adallom Labs. An sich seien SaaS-Anwendungen sicher. Das träfe aber nicht auf die privaten Geräte der Mitarbeiter zu. Zudem fühlten sich viele Sicherheitsteams in Unternehmen nicht zuständig für SaaS-Anwendungen. “Das gemeinsame Verantwortlichkeitsmodell für SaaS/Cloud bedeutet, dass der Provider die Absicherung der Infrastruktur übernimmt, während das Unternehmen für die Sicherheit der Kontoaktivitäten zuständig ist.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de