Beispiele und Beschreibungen verschiedener, weitverbreiteter Sicherheitslücken
Microsoft Windows – das Betriebssystem, das am häufigsten auf Computersystemen verwendet wird, die mit dem Internet verbunden sind – enthält zahlreiche, sehr ernste Sicherheitslücken.Die am meisten ausgenutzten sind in IIS, MS-SQL, Internet Explorer und den File-Serving- und Message-Processing-Services des Betriebssystems zu finden.
Eine Sicherheitslücke in IIS, die im Microsoft Security Bulletin MS01-033 beschrieben wird, ist eine der am meisten ausgenutzten Windows-Sicherheitslücken überhaupt. Eine große Zahl Netzwerkwürmer wurde in den vergangenen Jahren dafür geschrieben, unter anderem CodeRed. CodeRed wurde am 17. Juli 2001 entdeckt und es wird angenommen, dass er über 300.000 Systeme infiziert hat. Er hat zahlreiche Firmen gestört und weltweit riesige Verluste zu verantworten. Und auch wenn Microsoft mit dem Security Bulletin MS01-033 einen Patch für diese Sicherheitslücke ausgeliefert hat, verbreiten sich manche Versionen von CodeRed nach wie vor über das Internet.
Der Spida-Netzwerkwurm, der fast ein halbes Jahr nach CodeRed entdeckt wurde, missbraucht eine Exposure im MS-SQL-Server-Software-Paket, um sich zu verbreiten. Manche Standardinstallationen von MS-SQL-Server haben kein Passwort für das SA-Systemkonto. Das ermöglicht jedem Nutzer mit Netzwerkzugriff, eigene Kommandos auszuführen. Wird diese Exposure ausgenutzt, konfiguriert der Wurm ein Gastkonto, das den Dateiaustausch ermöglicht und lädt sich selbst auf das Zielsystem hoch. Dann verwendet er den passwortlosen SA-Kontozugriff, um eine Remote-Kopie von sich selbst zu starten, so dass sich die Infizierung verbreitet.
Der Netzwerkwurm Slammer, der Ende Januar 2003 entdeckt wurde, nutzte eine noch direktere Methode, um Windows-Systeme zu infizieren, auf denen MS-SQL-Server läuft: Eine Buffer-Overflow-Sicherheitslücke in einer der Subroutinen für die Verarbeitung von UDP-Paketen. Da er mit 376 Byte relativ klein war und UDP, ein Kommunikationsprotokoll für die schnelle Datenübertragung, verwendete, verbreitete sich Slammer unglaublich schnell. Manche schätzen, dass Slammer nur 15 Minuten brauchte, um sich weltweit auszubreiten und etwa 75.000 Systeme zu infizieren.
Diese drei berüchtigten Würmer nutzten Sicherheitslücken und Exposures in Software aus, die unter verschiedenen Versionen von Windows läuft. Doch der am 11. August 2003 entdeckte Lovesan-Wurm nutzte einen noch schlimmeren Buffer-Overflow-Fehler in einer Kernkomponente von Windows, um sich zu verbreiten. Diese Sicherheitslücke wurde im Microsoft Security Bulletin MS03-026 beschrieben.
Sasser, der Anfang Mai 2003 auftauchte, nutzte eine andere Sicherheitslücke in einer Kernkomponente, dem Local Security Authority Subsystem Service (LSASS). Informationen zu der Sicherheitslücke wurden im Microsoft Security Bulletin MS04-011 veröffentlicht. Sasser verbreitete sich rasend schnell, infizierte Millionen von Computer weltweit und verursachte enorme finanzielle Verluste. Viele Firmen, Organisation und Institutionen mussten die Arbeit stoppen, da der Wurm die Netzwerke störte.
Es ist unvermeidlich, dass Betriebssysteme Sicherheitslücken und Exposures enthalten, die von Hackern und Virenautoren ausgenutzt werden können. Doch auch wenn Windows-Sicherheitslücken die meiste Aufmerksamkeit in der Öffentlichkeit bekommen, da es so viele Windows-Computer gibt, so haben dennoch auch andere Betriebssysteme ihre Schwachstellen.
So war jahrelang der Finger-Service eine der beliebtesten Exposures der Unix-Welt. Dieser Service ermöglicht es jemanden außerhalb des Netzwerks, zu sehen, welche Nutzer auf welchen Computern eingeloggt sind und von wo aus sie auf die Computer zugreifen. Der Finger-Service ist praktisch, bietet aber auch viele Informationen, die von Hackern missbraucht werden können.
Ein Remote-Finger-Report sieht so aus:
Login Name Tty Idle Login Time Office Office Phone xenon pts/7 22:34 May 12 16:00 (chrome.chiba) polly pts/3 4d May 8 14:21 cracker DarkHacker pts/6 2d May 10 11:58
Daraus können wir einige interessante Dinge über den entfernten Computer erfahren, der den Finger-Server nutzt: Drei Nutzer sind eingeloggt, aber zwei davon sind seit zwei Tagen untätig, während der dritte seit 22 Minuten nicht mehr am Computer sitzt. Login-Namen, die vom Finger-Service angezeigt werden, können missbraucht werden, um Login/Passwort-Kombinationen auszuprobieren. Das kann schnell zu einer Kompromittierung des Systems führen, vor allem wenn die Nutzer keine starken Passwörter verwenden.
Der Finger-Service enthüllt nicht nur wichtige Informationen über den Server, auf dem er läuft. Er wurde auch zum Ziel zahlreicher Exploits, unter anderem des berühmten Netzwerkwurms, der von Robert Morris Jr. geschrieben und am 2. November 1988 veröffentlicht wurde. Bei den meisten modernen Unix-Versionen ist dieser Service daher ausgeschaltet.
Das Sendmail-Programm, das von Eric Allman geschrieben wurde, ist ein weiteres beliebtes Ziel für Hacker. Sendmail wickelt die Übertragung von E-Mails über das Internet ab. Durch die große Zahl von Betriebssystemen und Hardware-Konfigurationen, wuchs Sendmail zu einem extrem komplexen Programm heran, mit einer langen und berüchtigten Geschichte ernster Sicherheitslücken. Der Morris-Wurm nutzte einen Sendmail-Exploit, aber auch die Finger-Sicherheitslücke für seine Verbreitung.
Es gibt in der Unix-Welt viele weitere beliebte Exploits, die auf Software-Pakete wie SSH, Apache, WU-FTPD, BIND, IMAP/POP3, verschiedene Teile des Kernels usw. abzielen.
Die oben angesprochenen Exploits, Sicherheitslücken und Vorfälle zeigen eine wichtige Tatsache: Während die Zahl der Systeme, auf denen IIS, MS-SQL oder andere spezielle Software läuft, Hunderttausende beträgt, zählen die Systeme unter Windows wahrscheinlich mehrere Hundert Millionen. Wenn all diese Computer von einem Wurm oder Hacker mit einem automatisierten Hacking-Tool angegriffen würden, wäre das eine ernsthafte Gefahr für die interne Struktur und Stabilität des Internet.