Die 0-Day-Schwachstelle in Adobe Reader und Acrobat und die Entführung von Twitter liefern die Themen dieses Standpunkt Sicherheit.

0-Day-Schwachstellen gab es dieses Jahr schon einige: Im Februar in Adobe Reader und Acrobat, im April in Powerpoint, im Mai in DirectX, im Juli in Windows, den Microsoft Office Web Components Control, Firefox und Adobe Flash Player, Reader und Acrobat. Dann war eine kurze Pause, die Cyberkriminellen mussten wohl erst mal nachladen, im Oktober ging es dann aber weiter, wieder mit Adobe Reader und Acrobat, und im November war dann der Internet Explorer an der Reihe, gefolgt von Adobe Reader und Acrobat im Dezember. Kommt mir das nur so vor, oder ist Adobe wirklich Spitzenreiter bei den 0-Day-Schwachstellen? Mal eben zählen:

Nein, in der Tat geht der begehrte Preis für die größte Anzahl an 0-Day-Schwachstellen in diesem Jahr eindeutig an die Programme Adobe Reader und Acrobat. Herzlichen Glückwunsch! Und wie sieht es mit den Schwachstellen pro Hersteller aus?

Bei der Hersteller-Wertung muss sich Adobe noch etwas anstrengen, da hat es nur zu einem Gleichstand mit Microsoft gereicht. Aber ich bin sicher, nächstes Jahr gibt man sich da noch mehr Mühe. Zumindest bei der Anzahl behobener Schwachstellen hat man schon mal vorgebaut und sich die aktuelle fürs nächste Jahr gesichert: Gepatcht wird erst im Januar. Klar, warum auch nicht, es ist ja nun nicht so, als ob diese Schwachstelle besonders gefährlich wäre oder gar schon für großmaßstäbliche Angriffe ausgenutzt würde, richtig? So ein paar gezielte Angriffe per Mail, das müssen die Benutzer abkönnen. Aber vielleicht überlegt man es sich ja noch anders, nachdem es nun die ersten Angriffe über Drive-by-Infektionen gibt.

Aber Adobe war ja schon im Februar mit verschiedenen Antivirus-Herstellern in Kontakt, um die Sicherheit seiner Kunden sicherzustellen, vielleicht gibt es demnächst ja einen Adobe Reader mit eingebauten Virenscanner. Das ist wie bei einem Platten am Fahrrad: Wenn die eigenen Flicken nicht mehr reichen, kauft man sich größere. Ich persönlich ziehe dann allerdings den Kauf eines neuen Schlauchs vor, damit hat man in allgemeinen erst mal Ruhe.

"Wir haben Ihre Domain..."

Anderes Thema: Die Entführung von Twitter. Sehr merkwürdig, das Ganze. Twitter stuft das als Defacement ein. Nun ja, ich gebe zu, die Seite sah anders aus, als sie aussehen sollte. Aber ein richtiges Defacement war das meiner Ansicht nach nicht, dazu hätte schon ein Server von Twitter kompromittiert worden sein müssen. Außerdem hat so ein Hijacking eigentlich ein viel größeres Potential als die Benutzer nur auf eine harmlose Eigenwerbung der Täter umzuleiten.

Betrachten wir das doch mal ganz allgemein: Wie/Wann bemerkt man, dass der DNS-Eintrag auf einen falschen Server zeigt? Als Betreiber, wenn man den Eintrag aus welchem Grund auch immer überprüft, als Benutzer gar nicht, sofern man die erwarteten Inhalte sieht und es keine Fehlermeldung wegen eines falschen Zertifikats für eine HTTPS-Verbindung gibt.

Bei Twitter wurden die Benutzer dauerhaft auf eine andere Seite umgeleitet, aber was wäre, wenn der bösartige Server nur kurz eine Drive-by-Infektion ausführen und den Benutzer sofort auf den eigentlichen Server weiterleiten würde? Würde das irgend einem normalen Benutzer auffallen? Ich vermute sehr stark, dass das nicht passieren wird, solange alles so aussieht, wie der Benutzer es erwartet. Im Fall von Twitter verrieten die falschen/fehlenden Zertifikate beim Zugriff über das API, dass etwas nicht stimmte. Aber was ist mit Servern, die kein HTTPS nutzen und daher gar keine Zertifikate verwenden? Höchstens der angezeigte URL wäre dann noch auffällig, da darin dann nicht mehr der Domainname, sondern die IP-Adresse des eigentlichen Servers steht. Aber ob drauf viele Benutzer achten? Das Problem lässt sich auch umgehen, wenn die eigentliche Seite in einen iframe der bösartigen Seite geladen werden kann, dann stimmt der URL.

Halten wir mal fest: Würde eine Domain entführt, die kein HTTPS nutzt, könnten die Entführer den gesamten Traffic über ihren Server umleiten und dabei im Rahmen von Drive-by-Infektionen Schadcode verbreiten oder als Man-in-the-Middle Daten abphishen. Solange sie die Benutzer nach der Infektion auf die eigentliche Seite weiterleiten, wird es einige Zeit dauern, bis der Angriff auffällt.

Kommen wir zur nächsten Frage: Wie wurden die DNS-Einträge manipuliert? Laut dem Betreiber der DNS-Server hat sich der Täter mit gültigen Zugangsdaten angemeldet. Es gab in der Vergangenheit bereits mehrmals Berichte über Phishing-Angriffe, bei denen entsprechende Daten abgephisht werden sollten. Was wollen die Cyberkriminellen damit? Websites defacen? Dafür ist das doch ziemlich viel Aufwand. Ist es nicht viel wahrscheinlicher, dass die Daten für Phishing und Drive-by-Infektionen verwendet werden, mit denen die Cyberkriminellen Geld verdienen können? Bei Twitter wäre Phishing aufgrund der verräterischen Zertifikatswarnungen kaum möglich, und auch bei Drive-by-Infektionen dürfte es nicht lange dauern, bis der Angriff bemerkt und abgewehrt wird. Das "Defacement" wäre dann nur ein Nebeneffekt: Wenn man die Daten schon mal hat, möchte man sie auch nutzen. Zumal man damit nichts verrät, außer, dass diese einen Zugangsdaten in den Händen Cyberkrimineller sind. Welche Admins sonst noch abgephisht wurden, wissen nur die Cyberkriminellen selbst.

Für mich steht fest, dass Twitter kein Einzelfall ist. Es werden noch mehr Zugangsdaten ausgespäht worden sein. Fragt sich nur, bei wem. Und früher oder später werden die für kriminelle Zwecke genutzt, warum hätte man sie sonst sammeln sollen? Domain-Hijacking könnte eine der Bedrohungen des kommenden Jahres werden. Vielleicht sollte die regelmäßige Kontrolle der DNS-Einträge der eigenen Domains zur Routine werden - Sicher ist Sicher.