Salesforce.com behebt ein Leck in einer Subdomain. Über eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer Accounts übernehmen, Phishing-Attacken durchführen oder auch bösartigen Code installieren.
Das Leck wurde von dem Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs in einem Blog veröffentlicht. Sood hatte das Leck jedoch bereits vor einem Monat an Salesforce.com gemeldet und der Hersteller hat es zwischenzeitlich behoben.
Die Sicherheitslücke betraf die Subdomain admin.salesforce.com, daher sei das Leck auch etwas weniger kritisch. Dennoch: Hacker konnten durch die vertrauenswürdige Domain Nutzer in Sicherheit wiegen und dazu bringen, ihre Nutzerdaten einzugeben.
Der Fehler kam dadurch zu Stande, dass eine bestimmte Funktion in einer installierten Anwendung, die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterten. Dadurch, so erklärt Sood, sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuheben.
“Dazu kommt, dass alle Salesforce-Accounts für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on für die Verwaltung von verschiedenen Accounts verwendet”, erklärt der Sicherheitsforscher in seinem Blog. Dadurch waren auch Cloud-Anwendungen von dem Leck betroffen.
Um das Leck auszunutzen musste ein Hacker ein Popup erstellen, das den Salesforce-Login nachahmt und dabei konnte er Remote über das XSS-Leck den JavaScript-Code einfügen. Damit loggte sich der Nutzer in seinem echten Salesforce.com-Account ein. Seine Nutzerdaten jedoch wurden dabei an einen Server des Angreifers geschickt.
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.