Ernstig XSS-lek aangetroffen in website van eBay
Een ernstige beveiligingslek is aangetroffen in eBay. Het gaat om een Cross-Site Scripting (XSS) kwetsbaarheid waarmee cybercriminelen hun eigen malafide code in de website van eBay konden injecteren. Hiermee konden aanvallers bezoekers van de legitieme website van eBay een malafide inlogscherm voorschotelen in een poging inloggegevens buit te maken.
De kwetsbaarheid is ontdekt door een beveiligingsonderzoeker die zichzelf MLT noemt. In een blogpost demonstreert de onderzoeker dat de aanval relatief eenvoudig kon worden uitgevoerd. Ondanks de eenvoud gaat het om een ernstige kwetsbaarheid waarmee aanvallers de hand zouden kunnen leggen op de inloggegevens van miljoenen eBay gebruikers.
Malafide webpagina als iFrame injecteren
Om een aanval via het XSS-lek op te zetten host een aanvaller een malafide inlogpagina op een server. Vervolgens injecteert de aanvaller deze webpagina via het lek als iFrame in de legitieme website van eBay. De malafide inlogpagina verschijnt hierdoor op de site van eBay, zonder dat nietsvermoedende gebruikers de kwaadaardige bedoelingen van hun inlogscherm kunnen herkennen. In de onderstaande video wordt de werking van de aanval gedemonstreerd.
Daadwerkelijk inloggen via het iFrame is overigens niet mogelijk. Zodra een gebruiker zijn inloggegevens invoert in het scherm en op ‘Sign in’ klikt verschijnt een foutmelding. De ingevoerde gegevens vallen hiermee echter wel in handen van de aanvaller.
Niet direct verholpen
MLT stelt het probleem op 11 december te hebben gemeld bij eBay. Na een eerste reactie op de bevindingen zou eBay echter niet meer hebben gereageerd op de berichten van de onderzoeker, zonder het probleem te verhelpen. Nadat het lek naar buiten was gebracht en media bij eBay om ophelderingen vroegen heeft het bedrijf echter alsnog het lek gedicht.
Meer over
Lees ook
Shellshock-bug misbruikt om NAS-systemen aan te vallen
Hackers misbruiken de Shellshock-bug, ook bekend als de Bash-bug, inmiddels op grote schaal. Vooral NAS-systemen zijn populaire doelwitten om aan te vallen. Veel van deze apparaten draaien op Linux en zijn hierdoor kwetsbaar voor de bug in Bash. Beveiligingsonderzoekers van FireEye waarschuwt voor de grote hoeveelheid cyberaanvallen op NAS-systemen waarbij misbruik wordt gemaakt van de Shellshock-bug. De aanvallers geven zichzelf beheerdersrechten op de systemen, waarna zij de volledige controle over het apparaten kunnen overnemen. Onder andere NAS-systemen van fabrikant QNAP zouden een popul1
Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug
Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code u1
Microsoft verhelpt probleem dat virusscanner onbruikbaar kon maken
Microsoft dicht in een update een kwetsbaarheid in de Malware Protection Engine die het voor aanvallers mogelijk maakte virusscanners uit te schakelen. Deze engine is onderdeel van de beveiligingsoplossingen Security Essentials en Windows Defender. Het probleem is opgespoord door een onderzoeker van Google, die bij Microsoft aan de bel trok. Aanva1