- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

MySQL als unorthodoxes neues Einfallstor


Unbemerkt geentert: Wenn Ihr SQL-Server versucht, Sie mit Ransomware zu erpressen
RDP oder SSH als "übliche" Einstiegsluken für Remote-Hacking

- Anzeigen -





Von Michael Veit, Security-Experte bei Sophos

Cyberkriminelle finden immer wieder Wege, unbemerkt in Systeme einzusteigen, um von der Ferne aus Schadcode auszuführen. Beliebt als Einstiegsluken hierfür sind beispielsweise RDP oder SSH. Nun rückt auch SQL als Zugriffsmöglichkeit in den Fokus. Ein Sophos-Honeypot konnte kürzlich einen typischen Angriff über MySQL dokumentieren.

Hacker haben verschiedene Möglichkeiten, in Systeme zu gelangen. Sie können etwa Schwachstellen und Exploits für ausgeklügelte Hackerangriffe verwenden, um vorhandene Sicherheitsüberprüfungen zu umgehen und Server dazu zu bringen, Schadsoftware auszuführen. Sie können aber auch versuchen herauszufinden, wie man ohne viel Aufwand über einen offiziellen Eingang und mit offiziellen Systembefehlen illegal und unbemerkt in fremde Systeme einsteigen kann.

Windows Remote Desktop Protocol (RDP) zum Beispiel ist eine solche beliebte Einstiegsluke für Eindringlinge – so wurde in den letzten Jahren leider immer wieder über RDP-Sicherheitslücken berichtet, die es Hackern ermöglichen, in Ihr Netzwerk zu kommen, als wären sie echte Systemadministratoren. Tatsächlich aber ging es hierbei natürlich nicht darum remote etwas zu reparieren, sondern vielmehr darum, Schaden anzurichten und für die Schadensbeseitigung einen guten Batzen Geld zu verlangen.

Und RDP ist nicht der einzige beliebte Weg für Cyberkriminelle, um sich in fremde Systeme zu schleichen. Sophos hat kürzlich eine Honeypot-Studie veröffentlicht, die sich mit SSH-Angriffen beschäftigt. SSH steht dabei für Secure Shell, ein Remote-Zugriffssystem, das unter Linux und Unix noch weiterverbreitet ist als RDP unter Windows. Die Studie zeigte deutlich, wie viel Energie Cyberangreifer auch hier darauf verwenden, unbemerkt in Netzwerke zu gelangen. (Zur Studie: "Exposed: Cyberattacks on Cloud Honeypots")

Mittlerweile begnügen sich cyberkriminelle Angreifer jedoch nicht mehr damit, SSH und RDP als Allzweck-Tools zu verwenden. Es gibt viele andere Online-Dienste, die geradezu eine Einladung zum Eintreten darstellen, sobald es erst einmal gelungen ist, sich mit ihnen zu verbinden. So ist ein unsicherer MySQL-Server zum Beispiel nicht nur der potenzielle Weg zu einer Datenverletzung – er kann auch zu einer hochwirksamen (wenn auch unorthodoxen) Alternative zu RDP oder SSH werden, um Schadsoftware aus der Ferne auszuführen. Ein Honeypot der SophosLabs, der auf dem TCP-Port 3306, dem Standardzugriffsport für MySQL, installiert war, hat hierfür kürzlich ein spannendes Beispiel dokumentiert. Der Fake-Server gab sich als eine unsichere Instanz von MySQL aus, die Hacker auffinden und mit der sie sich verbinden konnten. Bei dem so erfassten SQL-basierten Angriff versuchten Angreifer, den MySQL-Server des Honeypots in einen Remote-Code-Ausführungsroboter umzuwandeln.

Sie gingen dabei folgendermaßen vor:

1. Sie stellten eine Verbindung zum Server her.

2. Sie errieten die Anmeldeinformationen eines autorisierten Benutzers durch simples Ausprobieren und meldeten sich an.

3. Es wurde eine unverdächtig aussehende Datenbanktabelle erstellt und ein Datensatz hinzugefügt, der vermeintlich aus Text besteht, tatsächlich aber eine ausführbare Windows-Datei in hexadezimaler Schreibweise ist.

4. Die Angreifer dekodierten die hexadezimalen Daten und speicherten sie als lokale Datei namens cna12.dll.

5. Sie wiesen den Server an, die neue DLL als MySQL-Plugin, bekannt als User Defined Function (UDF), zu laden,

6. Sie riefen eine Funktion im neuen Plugin auf, um Malware über HTTP zu laden und auszuführen.

Den Angreifern war es also gelungen, mithilfe des offiziellen UDF-Plug-in-Systems von MySQL, mit dem zusätzliche Funktionen in den Server integriert werden können, MySQL für eine Codeausführung von Remote-Standorten aus zu verwenden. Wäre der Angriff ausgeklügelter gewesen als er tatsächlich war – so bemerkten die Gauner nämlich nicht, dass der Honeypot unter Linux lief, sie aber ausführbaren Code hochgeladen hatten, der speziell für die Windows-Version von MySQL bestimmt war – hätten sie mit ihrem Angriff eine Ransomware namens GandCrab auslösen können.

Wie kann man sich gegen solche Angriffe schützen?
Der massive weltweite Ausbruch des SQL Slammer-Virus im Jahr 2003 hätte eigentlich lehren sollen, SQL-Server besser vom Internet zu isolieren. Zudem ist das Missbrauchspotenzial der UDF-Funktion von MySQL etwa ebenso lange und gut dokumentiert. Die Tatsache, dass trotzdem immer noch unkomplizierte, automatisierte Einbruchsversuche über internetfähige SQL-Ports erfasst werden können, zeigt, dass tatsächlich immer noch alte Fehler gemacht werden.

Das kann zur Sicherheit getan werden:

>> Sicherstellen, dass SQL-Server nicht direkt aus dem Internet erreichbar sind.
Wenn ja, ist das mit ziemlicher Sicherheit ein Versehen. Wenn es kein Fehler ist, ist es unbedingt ratsam einen anderen Weg zu finden, um aus der Ferne auf sie zuzugreifen. Eine Möglichkeit ist es, stattdessen ein VPN oder SSH als ersten Einstiegspunkt zu verwenden, und für alle Benutzer eine Zwei-Faktor-Authentifizierung einzurichten.

>> Die richtigen Passwörter. Der hier beschriebene Angriff kann von einem nicht authentifizierten Benutzer nicht durchgeführt werden, also besser kein Risiko mit schwachen Passwörtern eingehen. Auch wenn der SQL-Server nur intern zugänglich ist, ist es besser, dass sich nicht einfach jeder anmelden kann, insbesondere nicht als privilegierter Benutzer.

>> Überprüfung der MySQL-Zugriffskontrolleinstellungen. Nur Benutzer mit INSERT-Rechten in die zentrale mysql-Datenbank können neue UDFs laden, so dass jeder, der diesen Angriff starten könnte, bereits genügend Rechte hat, um viele andere schlechte Dinge zu tun. (Es wäre schön, die Option zu haben, UDFs auszuschalten, wenn man sie nie benutzt, aber es gibt keinen Weg, das zu tun. Der einzige Trick, den wir anwenden können, um das Laden von UDFs zu verhindern, ist, eine eigene statisch verknüpfte Version von mysqld aus dem Quellcode zu erstellen.)

>> Penetrationstests. Es lohnt sich immer zu überprüfen, ob Verteidigungsstrategien richtig angewendet werden. Fehler passieren, und wenn man sich nicht selbst um sie kümmert, wird es womöglich jemand anderes tun.
(Sophos: ra)

eingetragen: 31.05.19
Newsletterlauf: 27.06.19

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Ansatz zur Cyberresilienz

    "Ankündigung der Zwangsvollstreckung - Beitragsservice" - diese Betreffzeile findet sich aktuell in vielen E-Mail-Posteingängen. Getarnt als Mahnung und Androhung einer Zwangsvollstreckung machen sich Cyberkriminelle laut Medienberichten die Korrektheit der deutschen Bürger zunutze und versenden Nachrichten mit gefährlichem Anhang. Die sehr realistisch wirkenden Fake-Mails, die im Namen der öffentlich-rechtlichen Rundfunksender verschickt werden, weisen den Empfänger darauf hin, dass er im Zahlungsverzug ist und bei ausbleibender Begleichung des Beitrags eine Zwangsvollstreckung droht. Im Rahmen der E-Mail wird das Opfer darauf hingewiesen, dass im Anhang eine genaue Beschreibung der nächsten Handlungsschritte zu finden ist. Doch dieses unscheinbar wirkende Word-Dokument hat es in sich. Das Öffnen allein ist dabei noch nicht gefährlich. Die Angreifer weisen aber darauf hin, dass für die vollständige Einsicht des Dokuments die Bearbeitung und der Inhalt aktiviert werden müssen - sobald dies geschieht, befindet sich der Trojaner auf dem Computer und kann sich von dort theoretisch im kompletten Netzwerk verbreiten.

  • Verwendung von SDKs & Sicherheitslücken

    Vor kurzem wurde BitSight dank seiner weltweit führenden Sinkhole-Infrastruktur auf eine Domain aufmerksam, die mit dem Android Mobile Advertising Software Development Kit (SDK) Arrkii in Verbindung steht. Bei ihrer Analyse sind die BitSight Experten zu dem Ergebnis gekommen, dass das SDK Arrkii Funktionen und Verhaltensweisen einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA) aufweist. Ein SDK ist generell ein Software-Paket, das Programmcodes, Schnittstellen und häufig auch Anleitungen zur Verfügung stellt. Im speziellen Fall von Mobile Advertising SDKs integrieren App-Entwickler ein solches SDK in ihre App. Damit wird den Nutzern der App Werbung angezeigt und die Entwickler werden an den Werbeeinnahmen beteiligt. Das hilft den Entwicklern, die von ihnen entwickelten Anwendungen zu monetarisieren. Die App-Entwickler nehmen das SDK in ihre Apps auf, und das SDK übernimmt die Arbeit der Verbindung zu Werbeanbietern und der Einblendung von Anzeigen für die Benutzer.

  • Datensicherheit bei der Telefonie

    Snom erläutert, welche Rolle die Datensicherheit bei der Telefonie spielt - und wie Unternehmen teure Schäden durch Cyberangriffe abwehren können. Auch wenn heute die meisten Nutzer von Businesstelefonen wissen, dass ihre Stimme "over IP" transportiert wird, ist wohl den wenigsten klar, was das im Einzelnen heißt - und worauf es dabei ankommt. Während viele Privatnutzer sich noch auf offene Internetplattformen begeben, um für kein oder ein sehr schmales Budget mit Freunden und Verwandten zu telefonieren, ist das im professionellen Bereich zu Recht verpönt. Denn: Hier hat die Datensicherheit oberste Priorität, um Schäden vom Unternehmen wirksam abzuwenden. Anbieter von offenen Internetplattformen übernehmen in der Regel keine Garantie für die Sicherheit der übermittelten Daten - Gespräche und potenziell sensible Daten können so von Dritten abgehört oder abgefischt werden.

  • Unsicherheit unverschlüsselter Webseiten

    In der Schweiz scheint die IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU) noch ausbaufähig zu sein: Ein Großteil aller KMU verzichtet auf SSL-Verschlüsselung. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf Informationen der Swisscom-Tochter localsearch aufmerksam. Für eine Studie wertete localsearch mehr als 18.000 Schweizer KMU-Websites aus. Dabei zeigte sich: Fast jede zweite (41 Prozent) KMU-Webseite verzichtete auf ein SSL-Zertifikat. "Das hat zur Folge, dass weder die Identität der Webseite authentifiziert wurde, noch dass Daten verschlüsselt an Server übermittelt werden. Daraus ergibt sich wiederum ein Sicherheitsrisiko, das auch vom Suchmaschinenriesen Google als überdurchschnittlich relevant eingestuft wird", erläutert Christian Heutger, CTO der PSW Group, die Konsequenz.

  • Warum sollte man die IT-Security outsourcen?

    Das Garantieren der Sicherheit des Netzwerks ist eine der wichtigsten Aufgaben der Unternehmens-IT. Die ständig steigende Bedrohungslage und die immer komplexeren und gewiefteren Angriffe von Cyberkriminellen machen dies jedoch kontinuierlich schwieriger. Auch weil die überlasteten Sicherheitsexperten damit beschäftigt sind, Sicherheitslücken zu stopfen, und darüber hinaus kaum Zeit haben, neue Lösungen zu implementieren, die ihre Arbeit tatsächlich vereinfachen würden. Derzeit straucheln viele Unternehmen damit, dieses wichtige Problem zu lösen, also Sicherheit im hier und jetzt zu gewährleisten und die IT-Security fit für die Zukunft zu machen. Das größte Hindernis ist der akute Fachkräftemangel in der IT allgemein und im Security-Bereich speziell: Der Markt ist leergefegt. Kleine und mittelständige Unternehmen sind dabei am stärksten von diesem Problem betroffen, da die hoch spezialisierten Experten in diesem Bereich schnell von Großunternehmen angeworben werden, die deutlich höhere Gehälter bezahlen können.