WordPress-Installationen bei Shared Hostern sind zur Zeit im Visier von Angreifern. Ein Windows-Mobile-Spiel telefoniert in der Welt herum, Bots werden auf "Pay Per Install"-Basis vertrieben, Mavituna Security hat den Schwachstellen-Scanner Netsparker in einer Community Edition heraus gebracht, und die Websense Security Labs haben ihren Überblick über die Bedrohungen im Monat März veröffentlicht. Stefan Esser weist auf ein Zend Webinar zum Thema "Secure Application Development with the Zend Framework" hin, das er am 5. Mai halten wird, und Bruce Schneier verweist auf einen Vortrag zum Thema "Security, Privacy, and the Generation Gap", den er auf dem CACR Higher Education Security Summit der Indiana University gehalten hat und von dem es ein Video gibt.

Angriffe auf WordPress-Installationen bei Shared Hostern

Brian Krebs berichtet über Angriffe auf WordPress-Installationen auf von Shared Hostern, aktuell insbesondere Network Solutions, gehosteten Sites. Dabei wird von den Angreifern die 'siteurl' in der Tabelle 'wp-option' geändert, so dass die Besucher der Website sofort auf eine für Drive-by-Infektionen präparierte Seite umgeleitet werden. Krebs verweist auf das Blog von David Dede, der die Angriffe untersucht hat. Die Angriffe laufen weiterhin, aber immerhin konnte inzwischen die Ursache ermittelt werden: WordPress speichert die Zugangsdaten für die Datenbank als Klartext in der Datei wp-config.php, für die viele Benutzer unsichere Zugriffsrechte gesetzt hatten. WordPress empfiehlt für Shared-Hosting-Installationen für die Datei wp-config.php 750 zu verwenden. Bei Network Solution gibt es in der Hinsicht zur Zeit noch einige Verwirrungen. Ein bösartiger Benutzer von Network Solutions durchsuchte die Server mit einem Skript nach diesen Dateien und sammelte die Zugangsdaten ein, mit denen er dann auf die Datenbanken zugreifen und die Einträge manipulieren konnte.

Prinzipiell kann so ein Angriff auf jedem Shared-Hosting-System passieren, vor bösartigen Kunden ist kein Hoster sicher. Wer WordPress installiert hat, sollte daher prüfen, ob seine Installation sicher ist, insbesondere also, ob alle Dateien nur die minimal notwendigen Rechte aufweisen.

Windows-Mobile-Spiel telefoniert in der Welt herum

Ein Spiel namens "3D Anti-Terrorist Action" für Windows Mobile hat in manchen Installationen eine teure Nebenfunktion enthüllt: Es führt teure Auslands-Telefongespräche auf Kosten der betroffenen Spieler. Das berichten z.B. Graham Cluley von Sophos, Mikko H. Hyppönen von F-Secure und Symantec Security Response. Anscheinend haben russische Cyberkriminelle das von einem chinesischen Unternehmen entwickelte Spiel um die Trojaner-Funktionen erweitert und bei verschiedene Freeware-Seiten für Windows Mobile heraufgeladen. Laut Symantec wurde der Trojaner namens reg.exe mit dem .Net Compact Framework entwickelt und ist ohne dies nicht lauffähig, während das eigentliche Spiel auch ohne Framework läuft.

Pay Per Install - Geschäftsmodell Botnet

Botnets, bzw. genauer die sie ausmachenden Bots, werden zum Teil auf 'Pay Per Install'-Basis vertrieben. Sowohl Trend Micro als auch Symantec haben sich dieses Geschäftsmodell genauer angesehen. Trend Micro verweist auf eine ganze Reihe von Whitepapers rund um verschiedene Botnets sowie das Paper "The Business of Cybercrime - A Complex Business Model" (PDF) über die Zusammenhänge, Symantec hat seine Ergebnisse im Whitepaper "Pay Per Install - The New Malware Distribution Network" (PDF) zusammengefasst.

Netsparker Community Edition veröffentlicht

Mavituna Security hat eine Community Edition ihres Schwachstellen-Scanners für Webanwendungen, Netsparker, veröffentlicht. Netsparker soll SQL-Injection- und Cross-Site-Scripting-Schwachstellen besser als die meisten Konkurrenzprodukte erkennen und insbesondere keine False Positives liefern. Außerdem werden von der Community Edition verschiedene andere Schwachstellen wie Backup-Dateien, ausgegebene Quelltexte, Probleme mit der Crossdomain.xml usw. erkannt. Der Scanner läuft unter Windows ab XP SP2 und benötigt die .NET Framework 3.5 SP1 Runtime. Die Fähigkeiten des Scanners werden in einigen Videos demonstriert.

Überblick über dem März

Die Websense Security Labs haben ihren Überblick über die Bedrohungen im Monat März veröffentlicht: 'This Month in the Threat Webscape'. Themen sind u.a. der Pwn2Own-Wettbewerb und der außerplanmäßige IE-Patchday.

Gefährliche Schwachstellen vom 09.04.2010

• Sun Java:
  Schwachstelle im Java Deployment Toolkit (JDT) bzw. Java Web Start erlauben die Ausführung beliebigen Codes
• TYPO3:
  Nicht näher beschriebene Schwachstelle im autoloader erlaubt Ausführung beliebigen Codes
  Kritisch, weil: Berichten zu Folge wurde die Schwachstelle bereits für Angriffe ausgenutzt
• VMware Workstation:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware Player:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware Server:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware VIX API:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware ESXi:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware ESX Server:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware ACE:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware Workstation Movie Decoder:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• VMware Fusion:
  Mehrere Schwachstellen in verschiedenen Komponenten erlauben u.a. die Ausführung beliebigen Codes
• IBM Informix Dynamic Server:
  Mehrere Schwachstellen in der RPC-Library librpc.dll erlauben Ausführung beliebigen Codes (vom 02.03.2010, aktualisiert)

Carsten Eilers