PC-Ecke > # Security Center
Massenhacks von Webseiten ...
SiLæncer:
Cracker haben eine dem Anschein nach bislang unbekannte Sicherheitslücke in der Hosting-Konfigurationssoftware cPanel ausgenutzt, um beim Webhoster HostGator gespeicherte Kundenseiten zu manipulieren. Nach Angaben des Dienstleisters und Internet-Statistikers Netcraft erhielten die Angreifer über die Lücke Root-Zugriff und bauten in zahlreiche Webseiten IFrames ein, die Besucher auf infizierte externe Webseiten umleiteten. Dort sollte Anwendern des Internet Explorer über die noch nicht gepatchte VML-Lücke Schadcode auf den PC geschoben werden. Allerdings bemerkte HostGator schnell die Manipulation und benachrichtigte am gestrigen Samstag seine Kunden über das Problem. Wie viele Besucher sich mit Schädlingen infiziert haben, ist unbekannt.
Der Hersteller der cPanel-Software hat unterdessen ein Perl-Skript bereit gestellt, das die Lücke schließen soll. Worauf das Problem beruht, ist unklar, einen offiziellen Fehlerbericht gibt es noch nicht. Im Forum des Herstellers tauschen sich Anwender aber bereits über Maßnahmen aus. Betroffen sollen alle aktuellen und älteren cPanel-Versionen Stable, Release, Current und Edge sein. Allerdings soll sich die Root-Lücke nur ausnutzen lassen, wenn der Angreifer über ein lokales cPanel-Konto eines Kunden verfügt. Andere Webhoster dürften ebenfalls bedroht sein.
Anwender des Internet Explorer können sich vor Angriffen auf die VML-Lücke schützen, indem sie die Bibliothek vgx.dll deaktivieren. Wie das geht, beschreibt Microsoft in einem eigenen Fehlerbericht. Unabhängige Sicherheitsspezialisten haben zudem einen temporären Patch für die VML-Lücke im Internet Explorer entwickelt und veröffentlicht. Allerdings rät Microsoft von der Installation inoffizieller Patches ab. Hier liegt es im Ermessen des Anwenders, ob er dem Dritthersteller und dessen Tests über die Funktionalität vertraut, um nicht bis zum nächsten Patchday verwundbar zu bleiben. Offiziell kündigen die Redmonder ein Update für den 10. Oktober an. Laut Microsoft ist ein früherer Termin aber möglich -- "depending on customer needs"; allerdings ohne zu Verraten, ab wann dieser Zustand erreicht ist.
Quelle : www.heise.de
SiLæncer:
Zahlreiche offizielle Webseiten von bei Sony BMG unter Vertrag stehenden Künstlern sind heute Nacht gehackt worden. So sind etwa auf den Seiten von Justin Timberlake (wo Sony BMG offensichtlich begonnen hat, das Defacement zu korrigieren), Christina Aguilera, Britney Spears, Alicia Keys, Aerosmith und vielen anderen statt der Biografie, Beschreibungen zum aktuellen Album und Tourneedaten nur ein "XTech Inc Owned the Music Industry... and the rest of it" zu finden. Es sind aber auch zahreiche Seiten von Künstlern dem Massen-Defacement zum Opfer gefallen, die nicht bei Sony BMG unter Vertrag stehen.
Sony BMG ist über den Vorfall informiert und versucht die Seiten wieder herzustellen. Wie die Startseiten genau manipuliert wurden, ist nicht bekannt. Man wisse auch noch nicht, ob eine Schwachstelle in der Software ausgenutzt wurde.
Schaut man auf Zone-H in das Defacement-Archiv, ist die Gruppe XTech Inc in den vergangenen zwei Tagen sehr aktiv beim Manipulieren von Webseiten gewesen. Das lässt auf ein automatisiertes Defacement schließen, bei der in der Regel eine weit verbreitete Webanwendung angegegriffen wird. Meist dringen die Täter beim Defacement aber nicht vollständig in den Server ein, um ihn unter ihre Kontrolle zu bringen, sondern tauschen nur die index.html gegen eine Seite mit eigenen Inhalten aus.
Quelle : www.heise.de
SiLæncer:
Der Sicherheitsdienstleister Websense hat nach eigenen Angaben Massenhacks von Webseiten beobachtet, bei denen Kriminelle eigene JavaScripte in die Seiten eingebettet haben. Besucher der Seiten werden laut Bericht auf eine Domain umgeleitet, die einen ähnlich klingenden Namen wie google-analytics.com hat. Dort versucht ein Server mit mehreren Exploits für den Internet Explorer, Firefox und QuickTime den PC des Besuchers zu infizieren. Der Server soll in der Ukraine beheimatet sein. Laut Websense ist die Erkennungsquote für den beobachteten Schädling noch relativ gering. Bislang sollen mehrere zehntausend legitime Webseiten manipuliert worden sein.
Wie es den Kriminellen gelang, ihren Code in die Seiten zu schleusen, ist noch nicht klar. Vermutlich nutzten sie SQL-Injection-Schwachstellen in Webanwendungen auf den Servern aus oder erspähten FTP-Zugangsdaten. Administratoren erkennen eine Infektion ihrer Webseite am stark "obfuszierten" JavaScript-Code. Einen Eindruck davon bekommt man im Original-Bericht von Websense.
Bereits seit Mitte Mai versucht eine andere Gruppe Krimineller auf ähnlichem Wege, Anwender zu infizieren. Dazu schreiben sie ihre verschleierten JavaScripte in HTML-Seiten. Bei dieser auch unter dem Namen Gumblar bekannt gewordenen Attacke manipuliert anschließend ein Trojaner die im Browser des Opfers angezeigten Ergebnisse einer Google-Suche, um auf weitere gefährliche Seiten zu lenken. Gumblar nutzt laut Berichten Lücken in Adobe Reader und Adobe Flash aus und kann weitere Webseiten durch das Ausspähen von FTP-Zugangsdaten selbstständig manipulieren. Der Gumblar-Attacke sollen laut ScanSafe ebenfalls mehrere zehntausend Webseiten zum Opfer gefallen sein.
Siehe dazu auch:
* Mass Injection Compromises More than Twenty-Thousand Web Sites, Meldung von Websense
Quelle : www.heise.de
SiLæncer:
In den letzten Tagen wurden zahlreiche große Websites Opfer eines Massen-Hacks. Dieser verseuchte die betroffenen Seiten - darunter die Web-Präsenzen von Zeitungen, Behörden und wichtigen Unternehmen - mit Malware-Links.
Insgesamt sollen mehr als 100.000 Seiten betroffen gewesen sein. Auf den betroffenen Seiten wurden Links eingefügt, die Besucher auf Seiten weiterleiteten, auf denen Malware verbreitet wird. Betroffen waren Websites, die ein Banner-Ad-Modul in Verbindung mit Microsofts Internet Information Services unter ASP.net verwenden. Das berichtet David Dede, Malware-Experte bei der Monitoring-Firma Securi.
Unter anderem wurden das Wall Street Journal, die The Jerusalem Post, eine britische Polizeidirektion und die Website des Navigationssystems TomTom Opfer dieses Massenhacks. Offenbar wurde SQL Injection verwendet, um iFrames in den kompromittierten Bannern zu platzieren. Auf den Zielseiten wurde JavaScript verwendet, um den Rechner des Opfers mit einer Malware namens "Mal/Behav-290" zu infizieren.
Die meisten der betroffenen Seiten sind mittlerweile gesäubert; laut Dede sind nur noch gut 7000 infizierte Seiten auffindbar. Die Websites, auf denen die Malware gehostet wurde, wurden durch Bemühungen der Freiwilligen-Gruppe Shadowserver Foundation vom Netz genommen.
Der Bericht der Firma Securi ist im Internet erhältlich.
Quelle : www.gulli.com
SiLæncer:
Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer der Hacks waren das Wall Street Journal und die Jerusalem Post.
Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.
Durch die SQL-Injection-Schwachstelle waren (und sind) die Angreifer in der Lage, eigenen HTML-Code und JavaScript in die Datenbank des Content Management Systems (CMS) zu schreiben. Konkret betteten sie Code ein, der in einem iFrame einen Exploit für eine seit über einer Woche bekannte Lücke im Flash Player nachlädt. Darüber versuchen die Kriminellen, die PCs von Besuchern mit Trojanern zu infizieren. Der hat vermutlich zum Ziel, die Zugangsdaten zu asiatischen Spieleseiten wie aion.plaync.co.kr, aion.plaync.jp und df.nexon.com zu stehlen. Die Lücke im Flash Player ist in Version 10.1 geschlossen.
Bei ihrem Angriff gingen die Täter nach Angaben des Web-Application-Firewall-Herstellers (WAF) Armorize sehr geplant vor. Vor der eigentlichen SQL-Injection hätten Skripte zunächst nach möglichen verwundbaren Systemen gesucht, um sie dann später mit der Zero-Day-Exploit zu infizieren. Dabei seien laut Armorize auch Techniken zum Austricksen von Web-Application-Firewall eingesetzt worden.
Urheber der Angriffe soll vermutlich eine unter dem Namen dnf666 bekannte Gruppe aus China sein, die auch schon im März der Urheber einer größeren SQL-Injection-Attacke gewesen sein soll.
Quelle : www.heise.de
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln