CSRF bedeutet „Cross Site Request Forgery“ und bezeichnet eine Angriffstechnik, bei der ein HTTP-Request (Anweisung) in einer Webanwendung (Browser) ausgeführt wird. Mittels einem CSRF ist es beispielsweise möglich das Passwort oder die DNS-Server-Einstellungen eines Routers zu ändern. Dieses Szenario wurde bereits erfolgreich in Brasilien umgesetzt, wo laut Kaspersky ca. 4,5 Millionen Geräte so manipuliert worden sind.

Vorraussetzung für einen erfolgreichen Angriff über CSRF ist die Verwendung eines anfälligen Routermodells und der dazugehörigen Logindaten.

Standard-Kennwörter in Routern laden Angreifer geradezu ein

Für die Ersteinrichtung des heimischen Internet-Routers wird vom Hersteller eine Standard-IP-Adresse (meist „192.168.0.1“ oder „192.168.1.1“) und ein Standard-Benutzer („admin“ oder „administrator“) vorgegeben. Das Kennwort wird in der Regel auch recht einfach gehalten, um es dem Benutzer so unkompliziert wie möglich zu machen. Häufig wird hier als Standard-Kennwort beispielweise „admin“ oder „passwort“ genutzt. Genau hier allerdings liegt die Gefahr!

Da in vielen Fällen das voreingestellte Passwort des Routers nach der Installation vom Benutzer nicht abgeändert wird, kann der Angreifer vorgefertigte Listen verwenden, um Zugriff auf das Gerät zu bekommen.

Anhand dieser Daten lässt sich nun ein HTTP-Request erstellen der die DNS-Server abändert. Der könnte z. B. so aussehen:

https://benutzer:passwort@ip-adresse/anweisung.html?dnsserver=8.8.8.8

Der DNSChanger nutzte genau diese Schwachstelle aus, um die voreingestellten DNS-Server des Providers im Router mit denen des DNSChangers auszutauschen und somit alle Internet-Anfragen über genau diese Server laufen zu lassen.

Mittlerweile sind einige Hersteller dazu übergegangen im Konfigurationsassistenten des Routers während oder nach der Einrichtung auf ein neues Kennwort hinzuweisen, bzw. von vornherein keine „leichten“ vorgegebenen Passwörter zu verwenden, sondern jedem Gerät ein individuelles Kennwort zu verteilen.

E-Mail-Client von Apple anfällig

Der Sicherheitsforscher Bogdan Calin demonstriert in seinem Blog einen Angriff über diese Sicherheitslücke mit einer E-Mail auf dem iPhone. In der Testmail wird ein Bild hinterlegt und zusätzlich einige iFrames eingebettet. Die automatische Anzeige von Bildern in Apples E-Mail-Client ist standardmäßig aktiviert und startet somit auch die GET-Requests auf die hinterlegten IP-Adressen mit dem Ziel den DNS-Server im Router abzuändern, wie im Beispiel angezeigt.

Beispiel einer schädlichen E-Mail

Erfolgreich getestet hat Bogdan Calin dieses Szenario mit einer so präparierten E-Mail auf einem iPhone und einem Router des Modells ASUS RT-N16, bzw. ASUS RT-N56U mit Standardkennwörtern. Dieser Vorgang lässt sich allerdings auch auf andere Router übertragen, die mit Standardkennwörtern arbeiten.

So schützen Sie sich vor CSRF-Angriffen

Wir empfehlen die automatische Bildanzeige im E-Mail-Programm zu deaktivieren, bzw. erst auf Klick anzeigen zu lassen. Beim iPhone z. B. wählen Sie dazu „Mail – Kontakte – Kalender“ und deaktivieren die Option „Entfernte Bilder laden“.

Sie sollten in jedem Fall das Standardpasswort Ihres Routers sofort nach der Installation ändern und ein sicheres Kennwort verwenden!