IoT-Vi­ren im Heim­netz

PC Magazin - - News - MAT­TI­AS SCHLENKER

Platt­form­über­grei­fen­de Schad­soft­ware ist im Hier und Heu­te an­ge­kom­men: Ei­ne Mi­rai-Va­ri­an­te mit Win­dows-Ziel und der jüngs­te Blu­eBor­ne-Hack auf zwei Mil­li­ar­den Ge­rä­ten mit Blue­tooth über­win­den die Sys­tem­gren­zen.

D ie ers­te Mi­rai-Wel­le im Jahr 2016 sorg­te für mas­si­ven Traf c und noch im­mer viel­tau­send­fa­che In­fek­ti­on schlecht ge­war­te­ter, Li­nux-ba­sier­ter Web­cams und DSL-Rou­ter. In Netz­wer­ken galt bis vor Kur­zem ei­ne re­la­tiv kla­re Tren­nung der Be­triebs­sys­tem­gren­zen: Mi­rai at­ta­ckiert Li­nux-Zie­le, Pro­gram­me wie Pe­tya ver­brei­ten sich über klas­si­sche Lü­cken in Win­dow­sSer­ver­kom­po­nen­ten wie dem MSSQL-Ser­ver oder Da­tei- und Ver­zeich­nis­frei­ga­ben. Mitt­ler­wei­le ist ei­ne Mi­rai-Va­ri­an­te auf­ge­taucht, die für Win­dows kom­pi­liert wur­de und ne­ben Li­nux-Zie­len auch den MSSQLSer­ver an­greift, wo sie ei­ne Ta­bel­le mit Ad­mi­nis­tra­tor­rech­ten an­legt. Wäh­rend der An­griff auf MSSQL eher als Fin­ger­übung der Ent­wick­ler zu ver­ste­hen ist, schafft das Vor­han­den­sein ei­nes Mi­raiDe­ri­va­tes für Win­dows ein neu­es Ein­falls­tor für IoT-Wür­mer: E-Mail und Dri­ve-by­Down­loads. Galt bis­lang ei­ne ver­ges­se­ne Port­frei­ga­be ei­nes an­fäl­li­gen IoT-Ge­rä­tes als ein­zi­ger An­griffs­vek­tor, wird künf­tig das ver­se­hent­li­che Aus­füh­ren ei­ner Da­tei ge­nü­gen, um al­le im Sub­netz er­reich­ba­ren Op­fer zu in zie­ren. Be­son­ders per de: Die Schad­soft­ware be­nö­tigt kei­ne lo­ka­le Si­cher­heits­lü­cke, kei­ne Ad­mi­nis­tra­tor­rech­te, sie ver­än­dert kei­ne Da­tei­en auf dem PC, auf dem sie aus­ge­führt wird, und sie kann sich nach Aus­füh­rung ein­fach selbst lö­schen.

Von Win­dows zu Li­nux und zu­rück

Sind IoT-Ge­rä­te im Heim­netz in ziert, kann der Wurm dann dort lan­ge un­auf­fäl­lig schla­fen – ge­le­gent­li­cher HTTP-Traf c zu un­auf­fäl­li­gen Web­sei­ten fällt kaum auf. An an­de­rer Stel­le kommt dann der An­griff auf MSSQL und an­de­re Ser­ver­kom­po­nen­ten von Win­dows ins Spiel, denn der funk­tio­niert auch von je­dem Be­triebs­sys­tem aus (wie Pen­test-Tools à la Met­as­ploit schon lan­ge zei­gen): Wird dann ei­ne neue Win­dows-Lü­cke be­kannt, hat es der Wurm leicht, die ent­spre­chen­de Nutz­last („Pay­load“) nach­zu­la­den und An­grif­fe durch­zu­füh­ren. Da Win­dows im Heim­netz in der Re­gel sehr la­xe Fi­re­wall-Ein­stel­lun­gen ver­wen­det, ist die An­griffs­ober äche weit grö­ßer als vom In­ter­net aus.

Blue­tooth als An­griffs­vek­tor

Auch Blue­tooth kommt mitt­ler­wei­le als An­griffs­vek­tor in­fra­ge: Im Sep­tem­ber 2017 wur­de mit Blue Bor­ne ei­ne Samm­lung von Lü­cken in den Blue­tooth-St­acks von Li­nux (da­mit auch An­dro­id), Win­dows und OS X (da­mit auch iOS) be­kannt. Das Auf­tre­ten „iden­ti­scher Zwil­lin­ge“bei un­ter­schied­li­chen Im­ple­men­tie­run­gen ist größ­ten­teils der pe­ni­blen Um­set­zung der Blue­tooth-Spe­zi kat­i­on zu ver­dan­ken. Noch sind die Aus­wir­kun­gen der Blue-Bor­ne-Lü­cke schwer ab­zu­schät­zen: Bei vie­len Smart­pho­nes und Note­books ist Blue­tooth ab­ge­schal­tet, bei Desk­top-Li­nux sel­ten vor­han­den, und je­der An­griff müss­te auf be­stimm­te Kom­bi­na­tio­nen aus Be­triebs­sys­tem und Blue­tooth-Hard­ware ab­ge­stimmt sein. Ein Wurm-Ri­si­ko be­steht da­her vor al­lem für äl­te­re An­dro­id-Pho­nes mit wei­ter Ver­brei­tung, zu­dem be­steht die Ge­fahr, dass un­be­rech­tig­te Ge­rä­te Blue­tooth-Kom­mu­ni­ka­ti­on (bei­spiels­wei­se Pass­wort-Ein­ga­ben per Blue­tooth-Tas­ta­tur) mit­schnei­den. tr

Qu­el­le: Ali­envault

Zwei Wel­len des rei­nen Li­nux-Mi­raiWurms konn­ten gut be­kämpft wer­den, Mi­rai per Win­dow­sSpre­a­der stellt ein hö­he­res Ri­si­ko dar, da sei­ne Ak­ti­vi­tä­ten weit schlech­ter sicht­bar sind.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.