Angriff versteckt Code in Metadaten von PNG-Dateien

Christoph · 06.02.2014, 19:58

Zitat:

Sucuri berichtet von einem interessanten Weg, Schadcode vor Scannern zu verstecken. Die fragwürdigen Codeteile werden einfach in den Metadaten einer Bilddatei versteckt, die mit harmlosem Javascript ausgelesen wird.

Peter Gramantik von Sucuri berichtet in einem Blogpost von einem Sicherheitsproblem, das in der Theorie schon länger bekannt ist. Prinzipiell lässt sich Schadcode in Bilddateien verstecken, und zwar im Bereich für Metadaten. Dabei wird die Bilddatei per Javascript aufgerufen und der Schadcode durch diesen über eine Schleife erst decodiert.

In dem von Gramantik entdeckten Fall wird die Bilddatei im PNG-Format für eine iFrame-Injektion verwendet. Das iFrame wird, wie auch die Bilddatei, außerhalb des Bildschirms positioniert, so dass nur der Browser, nicht aber der Anwender die dortigen Inhalte sieht. Die Technik eigne sich gut für Search Engine Poisoning und Drive-By-Downloads, so Gramantik.

Der Angriff hat ein paar Vorteile. Wer nur seinen Code auf seiner Webseite durchstöbert, wird diesen nicht so schnell ausfindig machen. Zudem schließen die vielen Virenscanner einen Scan von Bilddateien nicht ein, sondern konzentrieren sich auf die Analyse des sichtbaren Javascripts.

Quelle: http://www.golem.de/news/schadsoftwa...02-104413.html
http://www.chip.de/news/Gefaehrliche..._67026242.html
http://www.heise.de/newsticker/meldu...n-2106966.html

Es wird immer "bunter".

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)