Manipulierte SVG-Dateien als moderne Angriffsmethode

IT-Medien berichten von einer zunehmenden neuen Bedrohung, die oft übersehen wird und mich tatsächlich in meinem Mailpostfach auch schon regelmäßig erreicht: manipulierte SVG-Dateien. Diese Dateien, die eigentlich für die Darstellung von Vektorgrafiken gedacht sind, werden zunehmend von Angreifern missbraucht, um schädlichen Code zu verbreiten. Es gibt dazu auch schon ein erstes Advisory, hier zu finden.

Was sind SVG-Dateien?

SVG steht für Scalable Vector Graphics, ein Format zur Beschreibung von Vektorgrafiken in XML. Im Gegensatz zu Pixelgrafiken wie JPG oder PNG, die aus einem Raster von Pixeln bestehen, werden SVG-Dateien durch mathematische Formeln beschrieben. Dies ermöglicht eine verlustfreie Skalierung der Grafiken, was sie ideal für den Einsatz in Webanwendungen macht.

Ein einfaches Beispiel für eine SVG-Datei könnte so aussehen:

<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
    <circle cx="100" cy="100" r="50" fill="blue" />
    <text x="100" y="100" font-family="Arial" font-size="20" fill="white" text-anchor="middle">SVG Beispiel</text>
</svg>

Diese Datei beschreibt einen blauen Kreis mit einem weißen Text in der Mitte. SVG-Dateien sind vielseitig einsetzbar und werden häufig für Logos, Icons und andere Grafiken verwendet, die in verschiedenen Größen dargestellt werden müssen.

Die Gefahr durch manipulierte SVG-Dateien

SVG-Dateien können jedoch nicht nur Grafiken darstellen, sondern auch JavaScript-Code enthalten. Dies macht sie zu einem attraktiven Werkzeug für Angreifer. Durch das Öffnen manipulierter SVG-Dateien können Angreifer JavaScript-Code auf dem System des Opfers ausführen, Schadsoftware nachladen und installieren, Phishing-Formulare direkt in der SVG-Datei anzeigen und sensible Informationen stehlen.

Ein Beispiel für eine manipulierte SVG-Datei könnte so aussehen:

<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">
    <circle cx="100" cy="100" r="50" fill="red" />
    <script>
        alert("Achtung! Diese Datei enthält schädlichen Code.");
    </script>
</svg>

In diesem Beispiel wird beim Öffnen der SVG-Datei ein Warnhinweis angezeigt. In einer realen Angriffssituation könnte der JavaScript-Code jedoch viel gefährlicher sein und beispielsweise Schadsoftware herunterladen oder sensible Daten stehlen.

Aktuelle Bedrohungen

Eine der aktuellen Bedrohungen, die von Sicherheitsforschern beobachtet wird, ist die Verbreitung von Schadsoftware wie dem Strela Stealer. Diese Malware ist speziell darauf ausgelegt, E-Mail-Zugangsdaten zu stehlen. Der Ablauf eines solchen Angriffs könnte wie folgt aussehen:

1. Das Opfer erhält eine E-Mail mit einer manipulierten SVG-Datei als Anhang.
2. Beim Öffnen der Datei wird das eingebettete JavaScript ausgeführt.
3. Das Skript lädt automatisch eine ZIP-Datei herunter, die weitere Schadsoftware enthält.
4. Die Schadsoftware wird installiert und beginnt, sensible Daten zu stehlen.

Schutzmaßnahmen

Um sich vor den Gefahren durch manipulierte SVG-Dateien zu schützen, können folgende Maßnahmen ergriffen werden:

• Blockieren von SVG-Dateien: Eine einfache, aber effektive Maßnahme ist das Blockieren von SVG-Dateien auf dem Mail-Gateway. Dies kann jedoch zu Problemen führen, wenn diese Anhänge für legitime Zwecke benötigt werden.
• Quarantäne für verdächtige Mails: Eine weitere Option ist es, E-Mails mit verdächtigen Anhängen in Quarantäne zu verschieben. Dies ermöglicht eine manuelle Überprüfung, bevor die Mails an die Empfänger weitergeleitet werden.
• Sensibilisierung der Anwender: Ein wichtiger Schritt ist die Sensibilisierung der Anwender. Schulungen und regelmäßige Hinweise können dazu beitragen, dass Anwender verdächtige Anhänge erkennen und entsprechend handeln.

Fazit

Die Gefahr durch manipulierte SVG-Dateien wird noch unterschätzt. Da diese Dateien wohl derzeit von vielen Sicherheitslösungen nicht ausreichend geprüft werden, können sie ein effektives Werkzeug für Angreifer sein. Durch das Blockieren von SVG-Dateien, das Verschieben verdächtiger Mails in Quarantäne und die Sensibilisierung der Anwender kann das Risiko jedoch minimiert werden: So kommen Rechnungen eben nicht als SVG-Datei ;)

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• “Duzen” ist keine Beleidigung - 16. Juli 2025
• Bedrohungslage von kommerziellen Satelliten - 15. Juli 2025
• Influencer im Visier der Steuerfahndung - 15. Juli 2025