Online-Shops, Informationsportale und andere Ressourcen basieren häufig auf Plattformen, die Entwicklern eine Reihe gebrauchsfertiger Tools zur Verfügung stellen. Unser Blog funktioniert ähnlich. Funktionen und Features werden in der Regel in Form von Plug-ins zur Verfügung gestellt, die dann von Nutzern bei Bedarf und nach Belieben hinzugefügt werden können. Einerseits ist dies ein durchaus praktisches System, das verhindert, dass Entwickler das Rad sprichwörtlich jedes Mal neu erfinden müssen, wenn sie ein bestimmtes Tool oder eine bestimmte Funktion benötigen. Andererseits bedeuten mehr Drittanbieter-Entwicklungen auf Ihrer Website gleichzeitig auch eine größere Gefahr, dass etwas schief gehen könnte.
Mögliche Probleme
Bei einem Plug-in handelt es sich um ein kleines Software-Modul, das die Funktionalität einer Website entweder ergänzt oder verbessert. Plug-ins gibt es wie Sand am Meer; einige von ihnen zeigen die Widgets sozialer Netzwerke an, während andere Module Statistiken erfassen und Umfragen oder ähnlichen Content erstellen – die Möglichkeiten sind hier wirklich grenzenlos.
Wenn Sie ein Plug-in mit der Engine Ihrer Website verknüpfen, wird dieses automatisch ausgeführt und erfordert nur dann Ihre Aufmerksamkeit, wenn ein Betriebsfehler auftritt – bzw. dann, wenn jemand den Fehler bemerkt. Und darin lauert die Gefahr solcher Module: Wenn Entwickler Plug-ins nicht mehr länger unterstützen oder weiterverkaufen, kriegen Nutzer dies oftmals gar nicht mit.
Plug-ins mit Leak-Risiko
Plug-ins, die seit Jahren nicht aktualisiert wurden, enthalten möglicherweise nicht gepatchte Schwachstellen, die ausgenutzt werden können, um die vollständige Kontrolle über eine Website zu übernehmen oder die Seite mit einem Keylogger, Krypto-Miner oder sonstiger Schadsoftware zu bestücken.
Selbst wenn Updates zur Verfügung stehen, schenken viele Websitebetreiber diesen nur wenig bis gar keine Beachtung, und gefährdete Module können auch noch Jahre, nachdem ihr Support eingestellt wurde, aktiv bleiben.
Selbst wenn Plug-in-Entwickler mögliche Schwachstellen patchen, kann es sein, dass die Patches aus irgendeinem Grund nicht automatisch installiert werden. In einigen Fällen vergessen Modul-Autoren beispielsweise ganz einfach, die Versionsnummer im Update zu ändern. Kunden, die sich auf automatische Updates verlassen, anstatt manuell nach verfügbaren Aktualisierungen zu suchen, bleiben dann auf veralteten Plug-ins sitzen.
Plug-in-Ersatz
Einige Website-Content-Management-Plattformen blockieren den Download von Modulen, die nicht länger unterstützt werden, automatisch. Dennoch können Entwickler und Plattformen keine anfälligen Plug-ins von den Webseiten der Nutzer löschen; denn das könnte zu Störungen oder schlimmeren Schäden oder Beeinträchtigungen führen.
Hinzu kommt, dass veraltete Plug-ins möglicherweise nicht auf der Plattform selbst, sondern auf öffentlich verfügbaren Diensten gespeichert werden. Löscht der Entwickler ein Modul oder stellt dessen Support ein, greift Ihre Website trotzdem weiterhin auf den jeweiligen Container zu, in dem das Plug-in einst gespeichert wurde. Cyberkriminelle können diesen Container ganz einfach klonen oder zu ihren Gunsten nutzen und die Ressource dazu zwingen, Malware anstelle des Plug-ins herunterzuladen.
Genau das ist mit dem Tweet-Zähler „New Share Counts“ passiert, der im Cloud-Speicher Amazon S3 gehostet wurde. Nachdem der Support des fraglichen Plug-ins eingestellt wurde, veröffentlichte der Entwickler eine Nachricht diesbezüglich auf der dazugehörigen Website. Das Problem? Mehr als 800 Kunden hatten die Message schlichtweg nicht gelesen.
Kurze Zeit später schloss der Plug-in-Autor den in Amazon S3 gespeicherten Container und Cyberkriminelle nutzten die Gunst der Stunde. Sie erstellten einen Speicher mit demselben Namen und platzierten darin ein bösartiges Skript. Webseiten, die das Plug-in weiterhin verwendeten, fingen an, den neuen Code zu laden, der Nutzer direkt zu einer Phishing-Seite umleitete, die, anstelle des Tweet-Zählers, eine nette Prämie für die Teilnahme an einer Umfrage versprach.
Wenn Plug-ins den Besitzer wechseln
Anstatt ihre Kreationen einfach aufzugeben, entscheiden sich einige Entwickler dazu, diese lieber zu verkaufen – und nicht alle sind besonders wählerisch, wenn es um einen potenziellen Käufer geht. Das bedeutet, dass auch Cyberkriminelle ein Modul im Handumdrehen legal erwerben können. In solchen Fällen kann das nächste Update möglicherweise Malware auf Ihrer Website bereitstellen.
Derartige Plug-ins zu entdecken ist leider keine leichte Aufgabe und in den meisten Fällen tatsächlich eine Frage des Zufalls.
Behalten Sie die Plug-ins auf Ihrer Website im Auge
Wie Sie sehen, gibt es zahlreiche Möglichkeiten eine Website über die darauf installierten Plug-ins zu infizieren. Aus diesem Grund empfehlen wir Ihnen, die Sicherheit der Plug-ins auf Ihrer Website stets im Auge zu behalten.
- Erstellen Sie eine Liste aller Plug-ins, die auf Ihren Ressourcen verwendet werden und überprüfen und aktualisieren Sie diese regelmäßig.
- Lesen Sie die Entwicklerhinweise der von Ihnen verwendeten Drittanbieter-Software und der Websites, über die sie verbreitet wird.
- Aktualisieren Sie Plug-ins regelmäßig. Wenn sie nicht länger unterstützt werden, sollten Sie diese so schnell wie möglich ersetzen oder entfernen.
- Wenn eine Unternehmenswebsite nicht länger benötigt oder verwendet wird, sollten Sie nicht vergessen, alle Inhalte – inklusive Plug-ins – zu löschen. Es ist lediglich eine Frage der Zeit, bis sich Schwachstellen einschleichen, die Cyberkriminelle ausnutzen könnten, um Ihr Unternehmen zu kompromittieren.
Quelle: Kaspersky Blog
https://www.kaspersky.de/blog/dangerous-plugins/18959/
Author: Sergey Golubev