Google ermöglicht anonyme Webseitenangriffe
Die größte Suchmaschine Google kann von Cyberkriminellen dazu genutzt werden, Angriffe auf Webseiten Dritter zu anonymisieren. So wird der gute Name von Google missbraucht.
Wie gestern bekannt wurde, nutzen Kriminelle eine neue Technik, um Angriffe auf anfällige Webseiten zu verschleiern. Dazu wird ein schon länger bekannter Angriff mit der Arbeitsweise von Google kombiniert, sodass der Angriff so aussieht, als würde er von Google ausgeführt werden.
Die als RFI (Remote File Inclusion) bezeichnete Angriffstechnik zielt auf schlampig programmierte PHP-Scripts ab. Wenn die übergebenen Parameter nicht genügend überprüft werden lässt sich Code direkt vom Script ausführen. Ein Angreifer nutzt diese Schwachstelle aus, indem er zunächst eine PHP-Datei mit bösartigem Code auf seinem Server platziert. Anschließend übergibt er die Internetadresse der auf dem Server befindlichen Malware dem verwundbaren PHP-Script als Parameter, was dazu führt, dass beliebiger vom Computerkriminellen geschriebener PHP-Code auf dem verwundbaren Webserver ausgeführt wird. Dieser Angriff legt jedoch die IP-Adresse des Angreifers offen, da dieser die Webseitenadresse mit dem Parameter im Browser aufrufen muss. (Mehr dazu unter dem Stichwort XSS bei Wikipedia)
Die neue Art dieses Angriffs beruht auf der Arbeitsweise von Google. Googles Crawlerprogramm spürt neu zu kategorisierende Webseiten über Hyperlinks auf, besucht sie daraufhin und speichert sie anschließend ab. Dies bedeutet letztendlich, dass durch den Besuch des Crawlers jede Webseitenadresse ausgeführt wird. Hier setzt die neue Angriffstechnik an: Der Cyberkriminelle erstellt eine Webseite, die die präparierte Webadresse als Hyperlink enthält und wartet, bis Google den Link besucht - und somit auch die Webseite des Opfers mit dem Script des Cyberkriminellen als Parameter, das den bösartigen Code enthält, ausführt. Auf diese Weise werden Angriffe anonymisiert.
Da fast alle Suchmaschinen nach dem beschriebenen Prinzip funktionieren, ist es sehr wahrscheinlich, dass nicht nur Google von diesen Angriffen heimgesucht wird. Außerdem ist zu beachten, dass Kriminelle die präparierten Webadressen zum Beispiel auch per Mail und Messenger an Ahnungslose Benutzer schicken könnten. In diesem Fall führt der Benutzer selbst den Angriff aus und wird Teil eines Verbechens, ohne es zu wissen. Auf diese Weise können auch Webseiten infiziert werden, deren Betreiber nichts Böses im Schilde führen. Für Surfer heißt das, noch vorsichtiger zu sein als bisher. Es ist daher ratsam einen Virenschutz zu verwenden, der auch HTTP-Daten filtert, wie zum Beispiel G DATAs AntiVirenKit2007.
Weitere Informationen
SecuriTeam Blog: Anonymizing RFI Attacks Through Google (engl.)
© 2007 - 2012 G Data Software AG. Tous droits réservés.
