Neue Angriffsmethode Hacker finden weitverbreitete Schwachstelle bei Web-Servern

Eine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor.

Hacker auf dem 28C3: Sicherheitslücke betrifft viele Webserver
DPA

Hacker auf dem 28C3: Sicherheitslücke betrifft viele Webserver


Berlin - Zwei deutsche Sicherheitsforscher haben auf dem derzeit laufenden Kongreß des Chaos Computer Clubs eine schwerwiegende Software-Lücke vorgestellt. Diese Schwachstelle könnten Cyber-Guerillas wie Anonymous, aber auch Online-Erpresser und Internet-Saboteure für Angriffe auf Websites nutzen.

Alexander Klink vom IT-Dienstleister n.runs und der Informatik-Student Julian Wälde zeigten auf dem Hackerkongress in Berlin, wie sich Schwachstellen in einer Vielzahl von Web-Technologien wie Java, ASP.Net, Python, Ruby und Googles V8-Javascript für Überlastungsangriffe auf Server ausnutzen lassen.

Bedenklich ist vor allem, wie weit verbreitet diese Sicherheitslücke ist: Betroffen ist laut Klink und Wälde "jede Website, die eine der oben beschriebenen Technologien einsetzt" - praktisch das halbe Internet.

Um so ärgerlicher, dass diese Lücke theoretisch seit 2003 bekannt ist, wie die Forscher in ihrem Arbeitspapier erläutern (PDF-Datei). Einige Software-Hersteller hatten schon längst Maßnahmen gegen entsprechende Angriffe ergriffen - andere wurden von den Autoren auf die Probleme hingewiesen und entwickelten daraufhin Sicherheitsaktualisierungen für ihre Dienste.

Microsoft weist nun in einem Technet-Eintrag auf die Gefahren für ASP.Net-Kunden hin: Ein Angreifer könnte mithilfe einer einzigen Datenanfrage alle CPU-Reserven eines Webservers oder gar einer verschalteten Ansammlung von Webservern ("Server-Cluster") für bis zu knapp zwei Minuten ausreizen. Durch wiederholte Angriffe, etwa durch ein Botnet, könnten ganze Serverfarmen ausgeschaltet werden.

Microsoft warnt vor Angriffen auf diese Sicherheitslücke und rät zur sofortigen Überprüfung der eigenen Server. Bis das ASP.Net-Team ein Update veröffentlicht, sollen alle Server-Betreiber eine Reihe von Sicherheitsmaßnahmen ergreifen, um das Risiko zu mindern.

kno

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
svoop 29.12.2011
1. Ruby MRI
Ruby ist nur in der veralteten Version 1.8.7 verwundbar, die aktuellen 1.9er Versionen sind gegen das Problem Immun. Und für 1.8.7 wurde noch am gleichen Tag ein Update 1.8.7-p357 herausgegeben, das dieses Hash-Problem löst.
D.Fronath 29.12.2011
2.
Beim Tomcat gibt es das Attribut maxParameterCount. Vergleichbares liefert das Hardend PHP Project per suhoshin patches/extensions. usw. usf. Bei den meisten Sprachen/Frameworks konnte/kann man etwas gegen diese Form von Angriffen tun. Man muss es nur tun + es bedeutet mal mehr mal weniger Aufwand. Im Zweifel wird es noch in 10 Jahren Server mit Standardeinstellungen geben, die diese Form von Attacke ermöglichen.
ArnoNym 29.12.2011
3.
Zitat von sysopEine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor. Neue Angriffsmethode: Hacker finden weit verbreitete Schwachstelle bei Web-Servern - SPIEGEL ONLINE - Nachrichten - Netzwelt (http://www.spiegel.de/netzwelt/web/0,1518,806173,00.html)
Wundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. "Bestes" Beispiel: JScript-Links, die nichts anderes machen, als einen im Klartext enthaltenen Dokumentenverweis per JScript auszuführen. Irgendwelche Texte plus Bildchen plus anklickbare Links funktioniert im Gegensatz dazu jedoch wunderbar und vor allem schnell und kompatibel mit Einfachst-HTML. Solange Web-Designer derart bescheuerte und sinnfreie Dinge tun, braucht man sich über nichts zu wundern - auch nicht darüber, daß bestimmte WebSites nur mit IE funktionieren, weil der Hobby-Web-Designer zu blöd war zu erkennen, daß weitere Browser im Internet durchaus üblich sind. Wer hier schon nicht willens oder in der LAge ist, seine Hausaufgaben zu machen, machts sie in Bezug auf Sicherheit erst recht nicht. Nicht ohne Grund heißt die goldene Regel des Ingenieurwesens: Keep it as simple as possible!
pescador 29.12.2011
4.
Zitat von ArnoNymWundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. "Bestes" Beispiel: JScript-Links, die nichts anderes machen, als einen im Klartext enthaltenen Dokumentenverweis per JScript auszuführen. Irgendwelche Texte plus Bildchen plus anklickbare Links funktioniert im Gegensatz dazu jedoch wunderbar und vor allem schnell und kompatibel mit Einfachst-HTML. Solange Web-Designer derart bescheuerte und sinnfreie Dinge tun, braucht man sich über nichts zu wundern - auch nicht darüber, daß bestimmte WebSites nur mit IE funktionieren, weil der Hobby-Web-Designer zu blöd war zu erkennen, daß weitere Browser im Internet durchaus üblich sind. Wer hier schon nicht willens oder in der LAge ist, seine Hausaufgaben zu machen, machts sie in Bezug auf Sicherheit erst recht nicht. Nicht ohne Grund heißt die goldene Regel des Ingenieurwesens: Keep it as simple as possible!
Tja, nur geht es hier gar nicht um aktive Inhalte. Man sendet einfach an eine beliebige PHP/ASP.NET/JSP/JSF Seite, ein Servlet oder ein Python-Script einen moderat großen POST-Request, und schon ist die CPU des Server dicht. Gefeit sind offenbar nur PERL-Scripte oder neuere Rubys. Und Sie werden ja wohl kaum zu statischen Seiten zurückkehren wollen, oder? Übrigens ist die Methode altbekannt, der Ur-Artikel erschien 2003 und führte dazu, dass PERL die Lücke dichtmachte.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.