SonicWALLs Produkte vor Angriffen bestens geschützt: Wildcard-Policy für URL-Adressen sichert Clientless SSL VPN
München (ots)
Das Computer Emergency Readyness Team (US-CERT) meldete, dass einige Produkte für Clientless SSL VPN einen Sicherheitsmechanismus von Webbrowsern aushebeln. Der Sicherheitsmechanismus "Same Origin Policy" dient dazu, dass Objekte einer Website oder Web-basierenden Anwendung nicht von einer anderen Quelle ausgelesen werden können. JavaScript oder ActionSkript dürfen nur dann auf Objekte zugreifen, falls sie aus derselben Quelle stammen. Wenn für eine VPN-Verbindung vor den Domain-Namen der Name des VPN-Servers gesetzt ist, greift die Same Origin Policy nicht mehr, da alle Objekte nun scheinbar aus einer Quelle stammen. Leitet ein Angreifer den VPN-Nutzer auf eine manipulierte Site, kann er sensible Daten abgreifen oder die Tunnel-Verbindung für sich nutzen.
Falls Unternehmen eine Richtlinie so festgesetzt haben, dass alle URL-Adressen für *.com zugelassen sind, sind potenziell alle Anwendungen gefährdet, die über den Domain-Namen angesprochen werden. Ein Beispiel: Die Domain lautet https://workplace.mydomain.com und *.com ist als erlaubte Ressource definiert. Meldet sich ein Benutzer für seinen Outlook Web Access unter https://workplace.mydomain.com/go/owa001.mydomain.com an, liegen alle Cookies der Domain workplace.mydomain.com auch für die OWA-Anwendung offen. Falls der Anwender dann auf eine Phishing-Adresse in seiner E-Mail (https://workplace.mydomain.com/go/badguys.com/) klickt, werden alle Anfragen, die badguys.com an die Web-Anwendung richtet, als korrekt und gültig interpretiert.
Die Aventail-Produktlinie ist nur dann angreifbar, wenn IT-Administratoren die Richtlinien für die Domainnutzung sehr allgemein halten. Der einfachste Weg, Attacken zu verhindern, ist es, die Nutzung von Wildcards in URL-Ressourcen einzuschränken. Ein Beispiel: Lautet die Hauptdomain des Unternehmens mydomain.com und die Domains weiterer Standorte des Unternehmens sind http://owa001.sea.mydomain.com, http://owa001.sjc.mydomain.com, etc., dann sollte als Wildcard-URL beispielsweise nur http://owa001.*.mydomain.com erlaubt sein. SonicWALL empfiehlt, Wildcards in Top-Level-Domains wie http://*.com oder http://*.net nicht zuzulassen.
Pressekontakt:
griffity GmbH
Evi Garabed
Hanns-Schwindt-Str. 8
81829 München
Tel.: (089) 43 66 92-0
E-Mail: evi.garabed@griffity.de
Internet: www.griffity.de
Original content of: SonicWALL, transmitted by news aktuell