Lücken in Webapplikationen

Die wenigsten Benutzer befürchten, sich auf einer bekannten Website mit Schadcode zu infizieren. Dabei sieht die Realität ganz anders aus: So berichtet der Websense Threat Report 2012 [5] beispielsweise, dass 82 Prozent der bösartigen Webseiten inzwischen auf kompromittierten Hosts laufen – das Risiko, sich auf einer seriösen Website Schadcode einzufangen, ist also sehr hoch. Darüber hinaus sind Webapplikationen, die Sicherheitslücken enthalten, auch bestens dokumentiert. Daher lassen sich verwundbare Webserver auch leicht aufspüren. Bevorzugte Angriffsziele sind dabei immer wieder veraltete PHP-Versionen oder Content-Management-Systeme wie Wordpress, Typo3 und Joomla. Sehr intensiv mit der Sicherheit von Webapplikationen beschäftigt sich das Open Web Application Security Project OWASP [6] , das alljährlich eine Top-10-Liste mit den häufigsten Sicherheitslücken und Schwachstellen in Webapplikationen veröffentlicht.

Kein Mangel an Tools

An frei verfügbaren Tools zur Vorbereitung eines Webserver-Angriffs herrscht wahrlich kein Mangel. So offerieren Hacking-Werkzeugkästen wie zum Beispiel die Live-CDs Backtrack oder Kali-Linux [7] , [8] in der Sektion Webapplikationen zahlreiche Programme, die in der Lage sind, Typ und Schwachstellen verschiedener Content-Management-Systeme zu erkennen. Mit Tools wie dem dort ebenfalls verfügbaren »sqlninja« wird dann der eigentliche Angriff auf das CMS oder dessen Datenbank ausgeführt.

Seit vielen Jahren sind auf diversen Untergrundmärkten im Internet außerdem auch kommerzielle Exploit-Kits erhältlich. Sie werden per Software-Maintenance stets auf dem aktuellen Stand gehalten und garantieren teilweise sogar die permanente Verfügbarkeit sogenannter Zero-Day-Exploits, also Sicherheitslücken, für die der jeweilige Softwarehersteller aktuell noch keinen Patch bereitstellt. Dabei wurden die vor Jahren noch dominanten Kits MPACK. Neosploit, Zeus und Eleonore zwischenzeitlich von Exploit-Kits der zweiten Generation abgelöst. Bekannte Vertreter sind das Phoenix-Exploit-Kit und vor allem das Black-Hole-Exploit-Kit (BHEK2). Interessenten können Instanzen dieser Angriffstools in den einschlägigen Untergrund-Foren auf täglicher Basis (50 US Dollar pro Tag inklusive 50 000 Hits), per Monat (500 US Dollar mit 70 000 Hits) oder pro Jahr (1500 US Dollar mit unlimitierter Anzahl Domains) mieten. Einen guten Überblick über den Stand der Entwicklung bei Exploit-Kits liefert das Poster Common-Exploit-Kits 2012 unter [9] und vor allem die Exploit Table 2013 des Bloggers Mila, erhältlich als Google-Apps-Tabelle unter [10] . Diese listet die Funktionalitäten der verschiedenen Malware-Kits unter Bezugnahme auf die entsprechende CVE-ID auf. CVE steht für Common Vulnerabilities and Exposures und bezeichnet einen Industriestandard zur eindeutigen Benennung von Sicherheitslücken in Computersystemen und -software, die in Listenform von der MITRE Corporation [11] gepflegt wird.