Hacker zielen auf Firefox-Nutzer ab, indem sie sensible Sicherheitsdaten von Mozilla stehlen

Mozillas Fehlerverfolgungssystem von Hackern angegriffen, um Firefox-Nutzer zu attackieren

Die Mozilla-Stiftung bestätigte am Freitag, dass ihr Fehlerverfolgungssystem ‚Bugzilla‘ von einem Hacker über einen Browser-Exploit angegriffen wurde, der dann in der Lage war, Informationen über nicht gepatchte Zero-Day-Fehler zu stehlen.

Es wird vermutet, dass die Hacker möglicherweise seit einem Jahr oder länger über die nicht gepatchten Zero-Day-Fehler im Firefox-Webbrowser Bescheid wussten. Laut Mozilla konnte der Angreifer auf ein Benutzerkonto zugreifen, das privilegierten Zugang zu Bugzilla hatte, einschließlich der nicht öffentlichen Informationen zu Zero-Day-Schwachstellen.

„Es gibt einige Hinweise darauf, dass der Angreifer möglicherweise seit September 2013 Zugriff hatte“, fügte die gemeinnützige Organisation in einem FAQ [PDF] zu dem Sicherheitsvorfall hinzu. Das bedeutet, dass die Hacker, bevor die Lücken gepatcht wurden, genügend Zeit hatten, um die Softwareanfälligkeit voll auszunutzen und davon zu profitieren.

Laut dem FAQ hatte der Hacker Zugriff auf etwa 185 geheime Fehler, die nicht öffentlich waren. Von diesen Fehlern betrachtete Mozilla 53 als „schwere“ Schwachstellen. Es wird gesagt, dass die ältesten Fehler erst nach 335 Tagen oder mehr gepatcht wurden, was bedeutet, dass die Hacker mehr als 11 Monate Zeit hatten, um die Schwachstellen auszunutzen, bevor sie von den Mozilla-Entwicklern behoben wurden.

Zu dem Zeitpunkt, als der Hacker eindrang, waren 43 der schweren Schwachstellen bereits im Firefox-Browser gepatcht, behauptet Mozilla. Das Risiko für Firefox liegt jedoch in den verbleibenden 10 Fehlern, auf die der Hacker Zugriff hatte, bevor sie behoben wurden.

Zu dem Vorfall erklärte Mozilla in einem FAQ: „Einer der Fehler [wurde] weniger als 36 Tage genutzt, um einen Angriff mit einer Schwachstelle durchzuführen, die am 6. August 2015 gepatcht wurde. Abgesehen von diesem Angriff haben wir jedoch keine Daten, die darauf hindeuten, dass andere Fehler ausgenutzt wurden.“

Der eine Fehler, den der Hacker voll ausnutzte und von dem er profitierte, war das Sammeln privater Daten von einer russischen Nachrichtenwebsite, die von Firefox-Nutzern besucht wurde.

Das Interessante an dem Mozilla Bugzilla-Vorfall war, dass es dem Hacker nicht erforderlich war, über eine Zero-Day-Schwachstelle Bescheid zu wissen, um Bugzilla zu kompromittieren, und dennoch konnte der Hacker von neuen Firefox-Zero-Day-Schwachstellen erfahren.

„Informationen, die in unserer Untersuchung aufgedeckt wurden, deuten darauf hin, dass der Benutzer sein Bugzilla-Passwort mit einer anderen Website wiederverwendet hat, und das Passwort wurde durch einen Datenvorfall auf dieser Website offengelegt“, erklärte Mozillas FAQ.

Das bedeutet, dass es so aussieht, als hätte jemand ein Passwort, das dann keinen Zugang haben sollte, oder vielleicht ein schwaches, oder möglicherweise auf einer anderen kompromittierten Website wiederverwendet. Insgesamt ist die Wiederverwendung von Passwörtern ein großes Problem, weshalb sowohl Google als auch Facebook in einem Bemühen, ihre Nutzer vor Datenvorfällen zu schützen, regelmäßig Passwort-Dumps überprüfen.

Der Sicherheitsleiter von Firefox, Richard Barnes, schrieb ausführlich darüber, was Mozilla unternimmt, um die Sicherheit von Bugzilla in einem Blogbeitrag am Freitag zu verbessern.

„Wir aktualisieren die Sicherheitspraktiken von Bugzilla, um das Risiko zukünftiger Angriffe dieser Art zu reduzieren. Als sofortigen ersten Schritt mussten alle Benutzer mit Zugang zu sicherheitsrelevanten Informationen ihre Passwörter ändern und die Zwei-Faktor-Authentifizierung verwenden.“

Zusätzlich sagte Barnes, dass auch neue Beschränkungen eingeführt werden, was jeder privilegierte Benutzerzugang kann, sodass, falls ein Konto in Zukunft kompromittiert wird, der Hacker nicht auf so viele Daten zugreifen kann.

„Wir haben die zuständigen Strafverfolgungsbehörden über diesen Vorfall informiert und könnten zusätzliche Schritte basierend auf den Ergebnissen weiterer Untersuchungen unternehmen“, sagte Barnes.

Es kommt überraschend, warum Mozilla zuvor nicht die Zwei-Faktor-Authentifizierung für seine sensiblen Informationen eingeführt hat, denn ohne sie benötigte der Hacker nur einen Satz von Anmeldeinformationen, um Zugang zu erhalten.

Die letzte Version von Firefox, die letzte Woche veröffentlicht wurde, hat alle Probleme behoben, die möglicherweise vom Hacker in der Vergangenheit ausgenutzt wurden. Dies ist eine gute Nachricht für Firefox-Nutzer, und man hofft, dass Mozilla nun ernster denn je mit seiner eigenen Sicherheit umgeht.