Firefox: Mozilla schließt zweite Zero-Day-Lücke wegen Angriffen

Nur wenige Tage nach dem Update für eine erste kritische Sicherheitslücke hat Mozilla nun auch eine zweite Sicherheitslücke (CVE-2019-11708) behoben, die aktiv für einen Angriff ausgenutzt worden ist. Die stabile Firefox-Version 67.0.4 sowie Firefox ESR 60.7.2 schließen nun auch die zweite Lücke. Die Sicherheitslücken sind offenbar beide in Kombination für einen Angriff auf die Mitarbeiter der Kryptowährungsbörse Coinbase genutzt worden.

Das berichtet der Security-Verantwortliche von Coinbase, Philip Martin, auf Twitter. Da schon die erste Lücke laut Mozilla von Coinbase gemeldet wurde, ist es wahrscheinlich, dass die Angreifer die Lücke dort ausgenutzt haben. Offenbar gilt das aber nicht für die Nutzer des Dienstes, sondern für dessen Mitarbeiter.

Zwei Lücken für einen Angriff

Martin schreibt dazu: "Am Montag hat Coinbase einen Versuch eines Angreifers entdeckt und blockiert, die gemeldete Zero-Day-Sicherheitslücke mit einer separaten Zero-Day-Sicherheitslücke als Fluchtversuch zum Ausbruch aus der Firefox-Sandbox zu nutzen, um Mitarbeiter von Coinbase anzugreifen".

Das IT-Magazin ZDnet zitiert den Google-Sicherheitsforscher Samuel Groß damit, dass dieser die von ihm gefundene erste Lücke bereits am 15. April an Mozilla gemeldet habe. Demnach habe die erste Lücke das Ausführen von Code in dem Browser ermöglicht. Über einen separaten Sandbox-Ausbruch könnte dann auch weiterer Code auf dem Betriebssystem der Angegriffenen ausgeführt werden.

Die beiden Sicherheitslücken sind nun also offenbar wie von Groß beschrieben kombiniert worden. Die zweite, nun geschlossene Sicherheitslücke ist ein Fehler im Verarbeiten der Prompt:Open-Nachrichten der Interprozesskommunikation des Firefox zwischen Kind- und Elternprozess.

Der nicht in einer Sandbox laufende Elternprozess öffnet dabei beliebige Webinhalte, die von einem kompromittierten Kindprozess gesteuert werden können. So lässt sich die erste Sicherheitslücke dann eben in einem Prozess ohne Sandbox ausnutzen, um beliebigen Schadcode auf dem System der Opfer einzuschleusen und auszuführen.

Coinbase verspricht Transparenz

Der Coinbase-Sicherheitsforscher Martin schreibt, dass der gesamte Angriff blockiert und aufgearbeitet worden sei. Dabei seien nicht nur die Lücken an Mozilla gemeldet worden, Coinbase habe auch den Schadcode und die dafür genutzte Infrastruktur näher untersucht. Gemeinsam mit anderen Organisationen sollen die Angreifer so unschädlich gemacht werden.

Darüber hinaus sei Coinbase wohl nicht die einzige angegriffene Kryptowährungsbörse. Das Team hat die verwendeten Schadcode-Dateien außerdem bei dem Dienst Virustotal hochgeladen, damit auch andere die Malware untersuchen und leichter überprüfen können, ob sie selbst von diesem speziellen Angriff betroffen sind. Martin verspricht darüber hinaus einen detaillierten Blogeintrag für kommende Woche, in dem der Angriff beschrieben werden soll.

Laut ZDnet haben die Angreifer versucht, die Coinbase-Mitarbeiter mittels einer Phishing-E-Mail auf eine speziell präparierte Webseite zu locken. Der eingeschleuste Schadcode hätte dann etwa Zugangsdaten oder Ähnliches abgreifen können. Der Angriff sei sowohl für Windows wie auch für MacOS gedacht gewesen.

Ob die Angreifer die erste kritische Sicherheitslücke selbst und unabhängig von Samuel Groß entdeckt haben, ist derzeit nicht bekannt. Bei einem Angriff auf den Bugtracker von Mozilla im Jahr 2015 konnte ein Angreifer Informationen zu noch nicht öffentlichen Sicherheitslücken und anderen Fehlern einsehen.

Das Unternehmen hat danach diverse Sicherheitsvorkehrungen getroffen und etwa eine Zwei-Faktor-Authentifizierung für alle Nutzer mit privilegierten Rechten eingeführt. Angesichts dessen ist es eher unwahrscheinlich, dass sich ein Vorfall wie 2015 wiederholt hat und die Coinbase-Angreifer ihre Informationen zu den Sicherheitslücken durch einen Zugriff auf den Bugtracker von Mozilla erhalten haben.