In dieser Ausgabe von "Standpunkt Sicherheit" erfahren Sie, wie Sie sich vor der aktuell laufenden Angriffswelle auf Websites schützen können. Außerdem gibt es Informationen über berechenbare Default-WEP/WPA-Schlüssel, die automatisierte Entwicklung von Exploits aus Patches sowie die DDoS-Angriffe auf CNN.

Angriffswelle auf Websites

Darüber, dass "Besuchen Sie keine nicht vertrauenswürdigen Websites" nicht mehr als Schutz vor der Infektion mit Schadsoftware ausreicht, hatte ich ja schon am 17. März berichtet. Seit Anfang April läuft ein weiterer Großangriff, bei dem wieder vertrauenswürdige Seiten, darunter US-Nachrichtenseiten sowie Seiten der UN und der britischen Regierung, manipuliert werden. Die betroffenen Seiten, inzwischen mehrere Hunderttausend, wurden über SQL-Injection so manipuliert, dass JavaScript-Code von einem fremden Server nachgeladen wird. Der versucht dann, über acht verschiedene Exploits die Kontrolle über den Rechner des Benutzers zu übernehmen.

Die Server-Seite

Betroffen sind .asp- und .aspx-Seiten, der eingeschleuste SQL-Code beginnt mit
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300...
und versucht, in alle Textfelder der Datenbank den Code zum Laden des JavaScript-Codes einzufügen. Betroffen sind anscheinend nur Microsoft IIS Webserver in Verbindung mit einem Microsoft SQL-Server. Dabei wird wohlgemerkt keine Schwachstelle in diesen Programmen, sondern in den .asp/.aspx-Skripten ausgenutzt.

Gegenmaßnahmen

Wenn Sie ein möglicherweise betroffenes System betreiben, sollten Sie die Logfiles auf den SQL-Injection-Code prüfen. Finden Sie Anzeichen für einen erfolgreichen Angriff, müssen Sie den eingeschleusten Schadcode aus der Datenbank entfernen und die SQL-Injection-Schwachstelle in Ihrer Webanwendung beheben. Informationen zur SQL-Injection finden Sie in About Security #11, #12 und #13.

Die Client-Seite

Die Opfer sind teilweise selbst schuld. Nicht, weil sie die vertrauenswürdige Seite angesurft haben, sondern weil sie ihr System seit längerem nicht aktualisiert haben. Laut Internet Storm Center wurden bei einem ähnlichen Angriff im März folgende Schwachstellen ausgenutzt: MS06-014, MS06-057, MS06-067, MS07-004 und "a number of ActiveX vulnerabilities". Über die ActiveX-Schwachstellen liegen keine Informationen vor, ich vermute, es handelt sich nicht um Schwachstellen in ActiveX selbst, sondern in verschiedenen ActiveX-Controls. Aber die anderen Schwachstellen sind seit langem bekannt und mindestens ebenso lange behoben. Die jüngste Lücke, die laut Websense auch diesmal ausgenutzt wird, ist die seit Januar 2007 geschlossene Pufferüberlauf-Schwachstelle in der Implementierung der Vector Markup Language (VML) von Windows (MS07-004). Wenn man davon ausgeht, dass die Angreifer die Schwachstellen nicht ausnutzen würden, wenn es nicht genug potenzielle Opfer gibt, scheinen noch reichlich ungepatchte Systeme zu existieren. Falls also jemand von Ihnen jemanden kennt, der jemanden kennt, der ein ungepatchtes System nutzt: Jetzt wäre eine gute Gelegenheit, die fehlenden Patches zu installieren.

Sollten Patches einmal nicht installiert werden können, weil es Probleme im Zusammenspiel mit installierter Software gibt, muss das nachgeholt werden, sobald die betroffene Software angepasst wurde. Und das sollte in den oben genannten Fällen inzwischen entweder längst geschehen sein oder die entsprechende Software ist ein Fall für den digitalen Abfalleimer - mit einem Update ist nach so langer Zeit wohl nicht mehr zu rechnen.

Default-Passwörter...

... gehören gelöscht und durch sichere ersetzt. Und was für Passwörter gilt, gilt genauso für alle anderen Zugangsdaten. Z.B. auch die Default-WEP- bzw. -WPA-Schlüssel, die manche WLAN-Geräte ab Werk mitbringen. Im Fall von Thomsons SpeedTouch-Geräten können die nämlich aus öffentlich bekannten Faktoren berechnet werden. Die einzige bekannte Schwachstelle in WPA2 ist ein Wörterbuch-Angriff auf den Preshared Key, und in diesem Fall ist nicht mal ein Wörterbuch-Angriff notwendig, der Schlüssel kann einfach berechnet werden. Falls Sie also für irgendwelche Geräte, egal von welchem Hersteller und für welchen Zweck, die Default-Schlüssel oder Ähnliches verwenden: Tauschen Sie die besser gegen selbst erzeugte aus. Wer weiß, wo noch überall berechenbare oder anderweitig ermittelbare Default-Werte verwendet werden.

Microsofts Security Intelligence Report

Microsoft hat die vierte Ausgabe des Security Intelligence Report (SIR) veröffentlicht, der den Zeitraum von Juli bis Dezember 2007 abdeckt. Darin werden Statistiken ausgewertet, die durch das Malicious Software Removal Tool (MSRT) erstellt wurden. Das MSRT wird zu jedem Patchday aktualisiert und untersucht die Rechner auf installierte Schadsoftware. Die Anzahl gefundener Schädlinge stieg in der 2. Hälfte 2007 um 40 %, die Anzahl an Trojanern sogar um 300 %.

Automatisierte Exploit-Entwicklung

Diese Zahlen werden weiter zunehmen, wenn das Schule macht, was David Brumley und Pongsin Poosankam von der Carnegie Mellon School of Computer Science, Dawn Song von der University of California in Berkeley und Jiang Zheng von University of Pittsburgh vorgeführt haben: Die automatische Entwicklung eines Exploits aus einem gepatchten Programm. Dabei werden Tools zum Vergleich eines Programms P und seiner gepatchten Version P' verwendet, um z.B. hinzugefügte Längenprüfungen für Parameter zu erkennen. Danach wird automatisiert nach möglichen Werten zum Ausnutzen der Schwachstelle gesucht. Mit anderen Worten: Microsoft veröffentlicht seine Patches am Patchday gegen 20 Uhr, die ersten Exploits könnten dann kurz danach erstellt sein. Bei Schwachstellen in Serverdiensten können sofort danach verwundbare Server angegriffen werden, bei Schwachstellen z.B. im Internet Explorer kann der Exploit dann über bereits vorher infizierte Webseiten verteilt werden. Die oben beschriebenen Angriffe können sicher kurzfristig um neue Exploits erweitert werden, eine Anpassung des nachgeladenen JavaScript-Codes reicht dafür aus. Da Windows in der Default-Einstellung um 3 Uhr nach neuen Patches sucht, bleibt ein ziemlich großes Zeitfenster für eine Ausnutzung der Schwachstellen.

DDoS gegen CNN

Am 21.4. gab es einen mehr oder weniger erfolgreichen DDoS-Angriff gegen CNN. Der wurde inzwischen sowohl von Supranamaya Ranjan als auch von Dancho Danchev analysiert. Danchev hat sich auch der dabei verwendeten Methoden angenommen. Besonders interessant ist dabei der "social network"-Ansatz.

Carsten Eilers