2010 - Ein Rückblick auf ein ereignisreiches Jahr

Kompromittierte Websites, die Schadsoftware im Rahmen von Drive-by-Infektionen verbreiten, sind nichts neues mehr. Im Juni liefen z.B. Massenangriffe auf ASP-Websites, weder zum ersten noch zum letzten Mal. Und auch schwache SSH-Schlüssel wurden gerne ausgenutzt.

Recht neu ist ein anderer Ansatz: Websites von Software-Herstellern zu kompromittieren, um dann kompromittierte Installationsprogramme oder -archive mit Backdoor zu verbreiten. Erstes Opfer wurde der Server von e107.org, über den auch eine Drive-by-Infektion verbreitet wurde. Der Angriff erfolgte pikanterweise über eine in e107 eigentlich behobene Schwachstelle, deren Patch auf dem eigenen Server nicht installiert war. Ein weiteres Opfer war dann der FTP-Server von ProFTPD, der ebenfalls aufgrund eines nicht installiertes Patches Opfer einer Schwachstelle im eigenen Programm wurde. Und auch der Server von phpMyFAQ wurde kompromittiert, um darüber Programmpakete mit einer Backdoor zu verteilen. Diesmal aber ohne eigene Mitschuld.

Der Month of PHP Security

Im Mai war der MOPS los: Stefan Esser hatte den Monat zum Month of PHP Security erklärt. Das Ergebnis: In der ersten Woche wurden sechs Schwachstellen in PHP, fünf in Anwendungen sowie drei Tipps und Tools veröffentlicht, in der zweiten Woche folgen acht neue Schwachstellen in PHP, vier in PHP-Anwendungen und drei weitere Tipps und Tools. In der dritten Woche wurde die Anzahl der PHP-Schwachstellen um weitere acht erhöht, dazu kamen vier weitere Schwachstellen in PHP-Anwendungen und ein Text. Und in der vierten Woche gab es dann noch einmal elf neue Schwachstellen in PHP und 4 Beiträge aus dem Bereich "Tipps und Tools". In den letzten 4 Tagen folgten dann zum Abschluss noch weitere vierzehn Schwachstellen in PHP und ein weiterer Text. Insgesamt wurden also 47 Schwachstellen in PHP und 13 in PHP-Anwendungen sowie 12 Beiträge aus dem Bereich "Tipps und Tools" veröffentlicht, eine beachtliche Leistung.

Während eines Vortrags auf der Sicherheitskonferenz SyScan Singapore 2010 hat Stefan Esser dann im Juli eine Schwachstelle in PHP nachgereicht, die von RedHat Linux in den eigenen Distributionen sehr zügig behoben wurde. Und das aus gutem Grund: Stefan Esser hat für seinen Demo-Exploit ein Fedora-System verwendet, da Fedora die einzige große Linux-Distribution ist, die auf den Einsatz von Suhosin verzichtet und dadurch den Angriff erleichtert.

Clickjacking wird immer beliebter und gefährlicher

Clickjacking hat eine steile Karriere hinter sich: 2008 entdeckt, 2009 ausgenutzt und 2010 um Likejacking und neue Möglichkeiten erweitert. Da bin ich ja gespannt, wie es 2011 weiter geht. Mit einem schnellen Aussterben dieser Schwachstelle und Angriffe ist leider nicht zu rechnen.

Stuxnet - Der Cyberwar rückt näher

Zuerst sah die sog. Shortcut-Lücke in Windows recht normal aus (und das ist sie ja eigentlich auch). Gar nicht normal dagegen war der sie zuerst einsetzende Trojaner: Stuxnet. Wem dieser eindeutig gezielte Angriff galt und wer ihn auslöste, war lange unklar. Nachdem das iranische Atomprogramm als Ziel ausgemacht wurde, scheint Stuxnet der erste Schritt zum Cyberwar zu sein. Nach und nach wurden dann Details über Stuxnet bekannt. Immerhin 4 0-Day-Schwachstellen wurden von dem Trojaner zur Verbreitung und zur Verankerung im System verwendet. Wie gefährlich breit gestreute Angriffe auf SCADA-Systeme sind, ist weiter unklar. Immerhin hat Stuxnet laut Siemens 22 Systeme im "industriellen Umfeld" infiziert, und einige weitere Puzzleteile liefern ein nur sehr verschwommenes Gesamtbild. Kurz vor Weihnachten hat ESET übrigens die eigene Analyse von Stuxnet, "Stuxnet Under the Microscope", aktualisiert.

PDF, das problematischste Dokumentenformat aller Zeiten?

Das PDF-Format erweist sich mehr und mehr als große Sicherheitslücke. Nicht nur, dass es laufend offene Schwachstellen im Adobe Reader gibt, auch das Format selbst enthält Schwachstellen, die das Einschleusen von Schadcode und andere unschöne Dinge erlauben. Und das sind deutlich mehr als anfangs vermutet, wie Julia Wolf auf dem 27C3 demonstriert hat.

Binary Planting - Unsichere Suchpfade ins Netz

Im August machte eine alte Schwachstelle Schlagzeilen: Unsichere Suchpfade, die bisher nur lokal ausgenutzt werden konnten, führten unter Windows nun auch ins Netz. Das Binary Planting wurde zuerst in der Windows-Version von iTunes gemeldet und behoben, aber eine Vielzahl weiterer Programme erwies sich seitdem als angreifbar. Wie sich herausstellte, ist z.B. jede mit Visual Studio 2010 erzeugte MFC-Anwendung betroffen.

Microsoft: Das Jahr der Rekord-Patchdays

2010 wurden in Microsoft-Produkten sehr viele Schwachstellen behoben. So viele, dass Microsoft im August einen Rekord-Patchday präsentierte, dessen insgesamt 15 Security Bulletins und 35 Schwachstellen (14 Bulletins mit 34 Schwachstellen am regulären Patchday und ein außer der Reihe veröffentlichtes Bulletin mit einer Schwachstelle) im Oktober noch übertroffen wurden: 16 Security Bulletins betrafen 48 Schwachstellen. Im Dezember waren es dann sogar 17 Security Bulletins, aber "nur" 40 Schwachstellen. Damit wurden 2010 insgesamt 106 Security Bulletins veröffentlicht, auch das ein Rekord. Wenn das 2011 so weiter geht, dürfte Microsoft sich ein eigenes Kapitel im Guinness-Buch der Rekorde sichern.

Carsten Eilers