Dipl.-Inform. Carsten Eilers

Brute-Force-Angriffe auf SSH-Server - ein Dauerbrenner

Es gibt mal wieder gehäuft Brute-Force-Angriffe auf SSH-Server. Andrew Morris hat ein paar Statistiken erstellt und zum Beispiel festgestellt, dass 409 Benutzernamen und 203074 Passwörter getestet werden. Der beste Schutz vor solchen Brute-Force-Angriffen ist natürlich ein mittels Public Key geschützter Zugang, ein gutes Passwort reicht aber auch. Und so lange die Angreifer sich auf den Standard-Port beschränken, reicht es sogar schon, einen anderen Port für SSH zu verwenden, um den Angriff ins Leere laufen zu lassen. Was aber eher unter "Security by Obscurity" fällt, denn mittels Portscan lässt sich der verwendete Port ja finden. Sofern man nicht zusätzlich ein Anklopfen vor das Öffnen des Ports setzt.

2. Sind alle Systeme und Anwendungen auf dem aktuellen Stand?

Wer Brute-Force sagt, kann auch ShellShock sagen. Und auch machen!

Das habe ich alles aber eigentlich nur erwähnt, um auf einen anderen Angriff aufmerksam zu machen, der in diesem "Grundrauschen" schnell unter geht: Bei einem anderen Angriff werden nur die Benutzernamen D-Link, admin und ftpuser getestet. Da sucht also jemand nach D-Link-Geräten mit vermutlich Default-Zugangsdaten. Außerdem gibt es Versuche, die Shellshock-Schwachstelle auszunutzen. Ich finde das sehr nett, immerhin weisen die Cyberkriminellen damit alle Admins etc. darauf hin, dass sie vor den Feiertagen besser noch mal prüfen sollten, ob wirklich überall alle Patches installiert sind etc.. Nicht dass es nach der Rückkehr aus dem Weihnachtsurlaub unliebsame Überraschungen gibt.

3. Auch die Router, NAS und was es sonst noch so gibt?

Nochmal Shellshock-Angriffe, diesmal gegen NAS

ShellShock-Angriffe werden auch auf NAS-Systeme gemeldet: Ein Wurm verbreitet sich über die ShellShock-Schwachstelle auf QNAP-NAS. Nachdem das Gerät kompromittiert wurde wird der bereits seit langem verfügbare Patch von QNAP installiert. Falls Sie ein NAS verwenden (und zwar irgend eines, nicht nur von QNAP, auch wenn die Gefahr dafür natürlich zur Zeit am größten ist), sollten Sie prüfen, ob darauf die aktuelle Firmware samt aller Patches installiert ist. Denn sonst könnte es passieren, dass die Cyberkriminellen Ihnen diese Arbeit abnehmen. Und nebenbei noch ein paar wichtige Daten. Oder etwas von der Leistung ihrer Internetanbindung.

Und wenn Sie das NAS überprüft haben, können Sie sich ihren Router vornehmen, und was Sie sonst noch mit dem Internet verbunden haben. Sind alle Patches installiert? Sind alle Passwörter ausreichend lang und komplex? Sind alle nicht benötigten Funktionen ausgeschaltet bzw. aus dem Internet unzugänglich gemacht?

4. Sind auch die nur als "wichtig" eingestuften Patches installiert?

Auch wichtige Updates können kritisch sein

Microsoft hat am Dezember-Patchday drei Schwachstellen in Office gepatcht, die nur als wichtig eingestuft wurden: MS14-082 und MS14-083. Alle drei erlauben das Ausführen beliebigen Codes, wenn eine präparierte Datei geöffnet wird. Wir wissen ja alle, dass es kein großes Problem ist, einen Benutzer zum Öffnen einer Datei zu bewegen. Bei Microsoft führt diese notwendige Benutzerinteraktion aber dazu, dass eine Schwachstelle nur als Wichtig/Important eingestuft wird.

Als Kritisch wird eine Schwachstelle eingestuft, wenn sie ohne Mithilfe des Benutzers ausgenutzt werden kann, zum Beispiel beim Besuch einer präparierten Webseite. Wie im Fall des als kritisch eingestuften Bulletins MS14-081 für Office: Das betrifft auch Office Web Apps, so dass der Besuch einer präparierten Webseite ausreicht, den Code einzuschleusen und auszuführen.

Ich habe bei der Liste der kritischen 0-Day-Exploits noch nie einen Unterschied zwischen der Ausführung von Code beim Besuch einer Webseite oder dem Öffnen einer per E-Mail zugeschickten oder zum Download angebotenen Office-Datei gemacht - beides ist in der Realität gleich gefährlich. Wer einen Benutzer auf eine präparierte Webseite locken kann, kann ihn auch zum Öffnen einer präparierten Office-Datei bewegen. Und wer eine Website so präpariert, dass sie einen schon beim Besuch der Seite startenden Exploit enthält, kann sie auch so präparieren, dass sie dem Besucher per Social Engineering eine Office-Datei unter schiebt. Also: Nur weil Microsoft nur "wichtig" drauf schreibt, kann ein Patch trotzdem eine kritische Schwachstelle beheben.

5. Ist ihr Virenscanner aktuell?

Die Viren sind zurück!

Computerviren schleusen ihren Schadcode in vorhandene Programme ein. Sie infizieren sie also, weshalb Viren auch als "File Infector" bezeichnet werden können. Und ein Schädling dieser Kategorie ist zur Zeit in den USA und Großbritannien unterwegs. Trotz meiner Skepsis gegenüber Virenscannern im Allgemeinen muss ich zugeben, dass sie in einem Fall wirklich funktionieren: Wenn es darum geht, bekannte Viren zu erkennen. Da die "File Infector"-Schädlinge keine Schwachstellen ausnutzen, kann man einen Angriff auch nicht durch deren Beheben verhindern, so dass ein Virenscanner in diesem Fall tatsächlich der einzige mögliche Schutz ist. Dazu muss er aber aktuell sein!

Der aktuelle File Infector, PE_URSNIF.A-O, infiziert alle auf Wechsel- und Netzwerklaufwerken gefundenen

• .EXE-Dateien mit setup im Namen,
• .MSI-Dateien und
• .PDF-Dateien.

Die PDF-Dateien werden dabei durch EXE-Programmdateien ersetzt, die die ursprüngliche PDF-Datei enthalten. Beim Öffnen dieser "PDF-Datei" wird das Programm gestartet und zuerst Code ausgeführt, der die PDF-Datei auspackt und öffnet, und danach der eigentliche Schadcode startet. Das gleiche passiert analog mit EXE-Dateien, während bei MSI-Dateien erst der Original-Code und danach der eingefügte Schadcode ausgeführt wird.

PDF-Dateien können am leicht geänderten Icon erkannt werden, den anderen Dateien sieht man ihre Manipulation nicht an.

Carsten Eilers