![[externer Link]](../../../../images/link.gif)
im Internet bei Sun und als CERT-Advisory zu finden.1 Stalinorgel: von dt. Soldaten geprägte Bezeichnung für den im 2. Weltkrieg von den sowjet. Streitkräften eingesetzten Raketenwerfer (russ. Katjuschka), mit dem je nach Typ bis zu 48 Raketengeschosse in kurzer Folge abgefeuert werden konnten (nach Meyers Lexikon).
Die massenhafte Verbreitung von Schadprogrammen (Melissa, LoveLetter, Kournikova etc.) wurde in den vergangenen Jahren von Benutzern ausgelöst, die ein per E-Mail versandtes Attachment durch "Doppelklick" aktivierten und damit die flächendeckende Verbreitung über das Outlook-Mailsystem weltweit ermöglichten.
Am 7. und 8. Mai 2001 wurden massive Angriffe auf Webseiten im Internet gemeldet, die darin bestanden, dass die ursprüngliche Homepage gegen eine andere Seite ausgetauscht ("defaced") wurde. Insgesamt wurden über 10 000 Web-Server gemeldet, die davon betroffen waren, was einen neuen Rekord im Massen-Hacking darstellte. Verursacher war der sadmind/IIS-Wurm. Verbreitungsquelle war diesmal jedoch kein E-Mail-System. Vielmehr nutzten die unbekannten Täter äußerst geschickt zwei Sicherheitsschwachstellen, die bereits unterschiedlich lange bekannt waren.
Der Angriff war nicht nur auf eine bestimmte Betriebssystem-Familie gerichtet, sondern es waren zwei sehr unterschiedliche Betriebssysteme von zwei Herstellern betroffen: Das Solaris-Betriebssystem der Firma Sun auf UNIX-Rechnern und Rechner mit Windows NT beziehungsweise Windows 2000 von Microsoft mit der Web-Server-Software IIS (Internet Information Server).
Der sadmind/IIS-Wurm greift UNIX-Rechner an, auf denen bestimmte
Versionen des Betriebssystems Solaris laufen und bei denen eine
seit Dezember 1999 bekannte Sicherheitsschwachstelle im
Systemprogramm "sadmind" nicht geschlossen worden ist.
sadmind koordiniert die verteilte Systemadministration. Aufgrund
eines Speicherüberlauf-Fehlers (buffer overflow) können
beliebige Befehle auf dem Rechner mit Administrator-Rechten
ausgeführt werden. Nähere technische Einzelheiten zu
dieser Sicherheitslücke sind im Internet bei Sun und als CERT-Advisory zu finden.
Ist diese Schwachstelle vorhanden, nistet sich der Wurm durch entsprechende Modifikationen des Betriebssystems im Rechner ein. Dann wird nach anderen ungesicherten Solaris-Rechnern gesucht und der Wurm dann an diese übertragen. Damit ist für eine weitere Verbreitung von sadmind/IIS gesorgt.
All diese Aktivitäten sind aber nur die Vorstufe zu dem
eigentlichen Angriff. Als nächstes wird im Internet nach bis
zu 2000 Webservern gesucht, auf denen Microsofts IIS mit einer seit
Oktober 2000 bekannten Sicherheitslücke läuft. Auch
hierbei handelt es sich wieder um das Ausnutzen eines Fehlers bei
Speicherüberlauf (nähere technische Einzelheiten im MS Sicherheitsbulletin 2000/78).
Wurde wiederum der Sicherheits-Patch nicht eingespielt, ist der Rechner für das Angriffsprogramm offen. In diesem Fall wird die Start-Seite des Webservers gegen eine schwarze Seite mit roter Schrift ausgetauscht (vgl. Screenshot). Der Text richtet sich gegen die US-Regierung sowie eine Hacker-Gruppe namens PoisonBOx. Diese Gruppe war hauptsächlich auf amerikanischer Seite an dem "Hacker-Krieg" zwischen China und USA im Nachgang zum Abschuss des amerikanischen Spionageflugzeugs über China beteiligt und war für die Veränderung von zahlreichen chinesischen Web-Seiten verantwortlich. Daraus den Schluss zu ziehen, dass der sadmind/IIS-Wurm von chinesischen Hackern geschrieben wurde, dürfte jedoch voreilig sein. Es könnte sich auch um eine geschickte Verschleierung handeln.
Die neue Bedrohung liegt darin, dass die Verantwortlichen für die Verbreitung nicht mehr relativ unerfahrene Benutzer sind, sondern die Administratoren von Systemen, die bekannte Sicherheitslücken nicht durch die von den Herstellern zur Verfügung gestellten Sicherheits-Updates (Patches) geschlossen haben.
Zwar war der Vergleich des sadmind/IIS-Wurms mit einer "globalen Stalinorgel" sicher übertrieben, aber dennoch war es mehr als ein Rohrkrepierer. Es ist nämlich zu befürchten, dass es sich bei dem Vorfall im Mai um einen Test handelte, der die Verbreitungsmöglichkeiten über nicht behobene Sicherheits-Patches ausloten sollte. Schließen Systemadministratoren aufgrund von Unkenntnis, Nachlässigkeit oder aus schlichtem Zeitmangel die bekannt gewordenen Schlupflöcher nicht zeitnah, könnte es tatsächlich passieren, dass in naher Zukunft über nicht behobene Schwachstellen ein Flächenbombardement des Internet in Form von DDoS-Angriffen erfolgt – ähnlich wie bei der Stalinorgel mit herkömmlichen Raketen.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 51
