Das Forschungsteam von Bitdefender hat nach eigener Aussage eine sogenannte Stored XSS-Schwachstelle bei PayPal entdeckt. Diese hätte es Angreifern leicht gemacht, Schadcode auf den Servern auszuführen – und so weitreichende Attacken auf Paypal-Kunden auszuüben. Obwohl die Schwachstelle nicht die über PayPal ausgeführten Transaktionen oder Benutzerkonten und -daten beeinträchtigt hatte, sei ein Missbrauch der Plattform für andere Angriffe denkbar gewesen, zum Beispiel für Phishing oder die Verbreitung von Malware.
Das Problem bestand offenbar in der Art und Weise, wie PayPal die URL verarbeitet und verschlüsselt, die die hochgeladenen Dateien zieht. Da der ID-Parameter für alle hochgeladenen Dokumente mit Base 64 kodiert wurde und den Cipher Block Chaining (CBC)-Modus verwendete, bestand der Angriff zum Teil darin, einige Byte-Folgen aus jedem Cipher Block zu ändern und PayPal auf diese Weise zu zwingen, die eingebettete Schadware auszuführen.
Das Forschungsteam bei Bitdefender lud ein XML-Dokument im HTML-Format hoch, das erfolgreich ausgeführt wurde. So konnte der PayPal-Server dazu gebracht werden, eine beschädigte Webseite anzuzeigen. Der Angriff hätte es den Cyberkriminellen gestatten können, Reflected File Downloads-Attacken durchzuführen, sodass andere schädliche Dokumente auf den als harmlos eingeschätzten PayPal-Servern gespeichert würden und ebenso unauffällige URLs eingerichtet würden, die die Nutzer zum Download und Ausführung bewegen. Solche Dateien könnten Shell-Befehle enthalten, mit denen Hacker die volle Kontrolle über die Computer der Opfer gewinnen.
Die Nachforschungen brachten außerdem hervor, dass Nutzer des Firefox-Browsers durch diese Stored XSS-Schwachstelle gefährdet gewesen wären – denn der PayPal-Server würde jedes Mal, wenn er Informationen vom User Agent und damit den Inhaltsdispositions-Parameter zur Darstellung von Inhalten als "nicht eingestellt" empfängt, die auf dem Server abgespeicherte schädliche Datei in dem Browser ausführen. Nutzer anderer Browser würden wären dazu verleitet worden, die Datei zu speichern und sie lokal auszuführen. Da der Download von einer vertrauenswürdigen Quelle stammt (PayPal), hätte er wenig Aufsehen erregt.
Bitdefender hat PayPal auf die Schwachstelle aufmerksam gemacht und sie wurde in der Zwischenzeit behoben. Es gibt laut dem Sicherheitsanbieter aktuell keine Angriffe, die die von Bitdefender aufgedeckte Methode nutzen.
Das Problem bestand offenbar in der Art und Weise, wie PayPal die URL verarbeitet und verschlüsselt, die die hochgeladenen Dateien zieht. Da der ID-Parameter für alle hochgeladenen Dokumente mit Base 64 kodiert wurde und den Cipher Block Chaining (CBC)-Modus verwendete, bestand der Angriff zum Teil darin, einige Byte-Folgen aus jedem Cipher Block zu ändern und PayPal auf diese Weise zu zwingen, die eingebettete Schadware auszuführen.
Das Forschungsteam bei Bitdefender lud ein XML-Dokument im HTML-Format hoch, das erfolgreich ausgeführt wurde. So konnte der PayPal-Server dazu gebracht werden, eine beschädigte Webseite anzuzeigen. Der Angriff hätte es den Cyberkriminellen gestatten können, Reflected File Downloads-Attacken durchzuführen, sodass andere schädliche Dokumente auf den als harmlos eingeschätzten PayPal-Servern gespeichert würden und ebenso unauffällige URLs eingerichtet würden, die die Nutzer zum Download und Ausführung bewegen. Solche Dateien könnten Shell-Befehle enthalten, mit denen Hacker die volle Kontrolle über die Computer der Opfer gewinnen.
Die Nachforschungen brachten außerdem hervor, dass Nutzer des Firefox-Browsers durch diese Stored XSS-Schwachstelle gefährdet gewesen wären – denn der PayPal-Server würde jedes Mal, wenn er Informationen vom User Agent und damit den Inhaltsdispositions-Parameter zur Darstellung von Inhalten als "nicht eingestellt" empfängt, die auf dem Server abgespeicherte schädliche Datei in dem Browser ausführen. Nutzer anderer Browser würden wären dazu verleitet worden, die Datei zu speichern und sie lokal auszuführen. Da der Download von einer vertrauenswürdigen Quelle stammt (PayPal), hätte er wenig Aufsehen erregt.
Bitdefender hat PayPal auf die Schwachstelle aufmerksam gemacht und sie wurde in der Zwischenzeit behoben. Es gibt laut dem Sicherheitsanbieter aktuell keine Angriffe, die die von Bitdefender aufgedeckte Methode nutzen.
