- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

MySQL als unorthodoxes neues Einfallstor


Unbemerkt geentert: Wenn Ihr SQL-Server versucht, Sie mit Ransomware zu erpressen
RDP oder SSH als "übliche" Einstiegsluken für Remote-Hacking

- Anzeigen -





Von Michael Veit, Security-Experte bei Sophos

Cyberkriminelle finden immer wieder Wege, unbemerkt in Systeme einzusteigen, um von der Ferne aus Schadcode auszuführen. Beliebt als Einstiegsluken hierfür sind beispielsweise RDP oder SSH. Nun rückt auch SQL als Zugriffsmöglichkeit in den Fokus. Ein Sophos-Honeypot konnte kürzlich einen typischen Angriff über MySQL dokumentieren.

Hacker haben verschiedene Möglichkeiten, in Systeme zu gelangen. Sie können etwa Schwachstellen und Exploits für ausgeklügelte Hackerangriffe verwenden, um vorhandene Sicherheitsüberprüfungen zu umgehen und Server dazu zu bringen, Schadsoftware auszuführen. Sie können aber auch versuchen herauszufinden, wie man ohne viel Aufwand über einen offiziellen Eingang und mit offiziellen Systembefehlen illegal und unbemerkt in fremde Systeme einsteigen kann.

Windows Remote Desktop Protocol (RDP) zum Beispiel ist eine solche beliebte Einstiegsluke für Eindringlinge – so wurde in den letzten Jahren leider immer wieder über RDP-Sicherheitslücken berichtet, die es Hackern ermöglichen, in Ihr Netzwerk zu kommen, als wären sie echte Systemadministratoren. Tatsächlich aber ging es hierbei natürlich nicht darum remote etwas zu reparieren, sondern vielmehr darum, Schaden anzurichten und für die Schadensbeseitigung einen guten Batzen Geld zu verlangen.

Und RDP ist nicht der einzige beliebte Weg für Cyberkriminelle, um sich in fremde Systeme zu schleichen. Sophos hat kürzlich eine Honeypot-Studie veröffentlicht, die sich mit SSH-Angriffen beschäftigt. SSH steht dabei für Secure Shell, ein Remote-Zugriffssystem, das unter Linux und Unix noch weiterverbreitet ist als RDP unter Windows. Die Studie zeigte deutlich, wie viel Energie Cyberangreifer auch hier darauf verwenden, unbemerkt in Netzwerke zu gelangen. (Zur Studie: "Exposed: Cyberattacks on Cloud Honeypots")

Mittlerweile begnügen sich cyberkriminelle Angreifer jedoch nicht mehr damit, SSH und RDP als Allzweck-Tools zu verwenden. Es gibt viele andere Online-Dienste, die geradezu eine Einladung zum Eintreten darstellen, sobald es erst einmal gelungen ist, sich mit ihnen zu verbinden. So ist ein unsicherer MySQL-Server zum Beispiel nicht nur der potenzielle Weg zu einer Datenverletzung – er kann auch zu einer hochwirksamen (wenn auch unorthodoxen) Alternative zu RDP oder SSH werden, um Schadsoftware aus der Ferne auszuführen. Ein Honeypot der SophosLabs, der auf dem TCP-Port 3306, dem Standardzugriffsport für MySQL, installiert war, hat hierfür kürzlich ein spannendes Beispiel dokumentiert. Der Fake-Server gab sich als eine unsichere Instanz von MySQL aus, die Hacker auffinden und mit der sie sich verbinden konnten. Bei dem so erfassten SQL-basierten Angriff versuchten Angreifer, den MySQL-Server des Honeypots in einen Remote-Code-Ausführungsroboter umzuwandeln.

Sie gingen dabei folgendermaßen vor:

1. Sie stellten eine Verbindung zum Server her.

2. Sie errieten die Anmeldeinformationen eines autorisierten Benutzers durch simples Ausprobieren und meldeten sich an.

3. Es wurde eine unverdächtig aussehende Datenbanktabelle erstellt und ein Datensatz hinzugefügt, der vermeintlich aus Text besteht, tatsächlich aber eine ausführbare Windows-Datei in hexadezimaler Schreibweise ist.

4. Die Angreifer dekodierten die hexadezimalen Daten und speicherten sie als lokale Datei namens cna12.dll.

5. Sie wiesen den Server an, die neue DLL als MySQL-Plugin, bekannt als User Defined Function (UDF), zu laden,

6. Sie riefen eine Funktion im neuen Plugin auf, um Malware über HTTP zu laden und auszuführen.

Den Angreifern war es also gelungen, mithilfe des offiziellen UDF-Plug-in-Systems von MySQL, mit dem zusätzliche Funktionen in den Server integriert werden können, MySQL für eine Codeausführung von Remote-Standorten aus zu verwenden. Wäre der Angriff ausgeklügelter gewesen als er tatsächlich war – so bemerkten die Gauner nämlich nicht, dass der Honeypot unter Linux lief, sie aber ausführbaren Code hochgeladen hatten, der speziell für die Windows-Version von MySQL bestimmt war – hätten sie mit ihrem Angriff eine Ransomware namens GandCrab auslösen können.

Wie kann man sich gegen solche Angriffe schützen?
Der massive weltweite Ausbruch des SQL Slammer-Virus im Jahr 2003 hätte eigentlich lehren sollen, SQL-Server besser vom Internet zu isolieren. Zudem ist das Missbrauchspotenzial der UDF-Funktion von MySQL etwa ebenso lange und gut dokumentiert. Die Tatsache, dass trotzdem immer noch unkomplizierte, automatisierte Einbruchsversuche über internetfähige SQL-Ports erfasst werden können, zeigt, dass tatsächlich immer noch alte Fehler gemacht werden.

Das kann zur Sicherheit getan werden:

>> Sicherstellen, dass SQL-Server nicht direkt aus dem Internet erreichbar sind.
Wenn ja, ist das mit ziemlicher Sicherheit ein Versehen. Wenn es kein Fehler ist, ist es unbedingt ratsam einen anderen Weg zu finden, um aus der Ferne auf sie zuzugreifen. Eine Möglichkeit ist es, stattdessen ein VPN oder SSH als ersten Einstiegspunkt zu verwenden, und für alle Benutzer eine Zwei-Faktor-Authentifizierung einzurichten.

>> Die richtigen Passwörter. Der hier beschriebene Angriff kann von einem nicht authentifizierten Benutzer nicht durchgeführt werden, also besser kein Risiko mit schwachen Passwörtern eingehen. Auch wenn der SQL-Server nur intern zugänglich ist, ist es besser, dass sich nicht einfach jeder anmelden kann, insbesondere nicht als privilegierter Benutzer.

>> Überprüfung der MySQL-Zugriffskontrolleinstellungen. Nur Benutzer mit INSERT-Rechten in die zentrale mysql-Datenbank können neue UDFs laden, so dass jeder, der diesen Angriff starten könnte, bereits genügend Rechte hat, um viele andere schlechte Dinge zu tun. (Es wäre schön, die Option zu haben, UDFs auszuschalten, wenn man sie nie benutzt, aber es gibt keinen Weg, das zu tun. Der einzige Trick, den wir anwenden können, um das Laden von UDFs zu verhindern, ist, eine eigene statisch verknüpfte Version von mysqld aus dem Quellcode zu erstellen.)

>> Penetrationstests. Es lohnt sich immer zu überprüfen, ob Verteidigungsstrategien richtig angewendet werden. Fehler passieren, und wenn man sich nicht selbst um sie kümmert, wird es womöglich jemand anderes tun.
(Sophos: ra)

eingetragen: 31.05.19
Newsletterlauf: 27.06.19

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Mail Transfer Agent - Strict Transport Security

    Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen: "Mit MTA-STS ist tatsächlich der Durchbruch gelungen, die E-Mail-Kommunikation vor Lauschangriffen sowie Manipulation abzusichern, indem er die Verschlüsselung für den Mail-Transport via SMTP erzwingt und so die Verbindung zwischen zwei Servern schützt", zeigt sich Christian Heutger, IT-Sicherheitsexperte und CTO der PSW Group erfreut. MTA-STS ist die Abkürzung für "Mail Transfer Agent - Strict Transport Security". Beteiligt an der Entwicklung waren unter anderem die großen Mailserver-Betreiber, wie Google, Microsoft oder Oath. Ein Mailserver signalisiert mit MTA-STS, dass TLS-gesicherte Verbindungen unterstützt werden. Der anfragende Mailserver wird angewiesen, künftig ausschließlich verschlüsselte Verbindungen zu akzeptieren. Über DNS und HTTPS werden die STS-Informationen bereitgestellt.

  • Was macht öffentliches WLAN unsicher?

    In einer Ära, in der die Cyberkriminalität floriert, ist das öffentliche WLAN zu einer hervorragenden Gelegenheit für die verschiedensten Kriminellen geworden. Die jüngste Umfrage zeigt, dass 79 Prozent der öffentlichen WLAN-Nutzer bei der Wahl ihrer WLAN-Verbindung erhebliche Risiken eingehen. Sie wählen einen Hotspot aufgrund seiner WLAN-Qualität, suchen sich einen angemessenen Namen aus oder wählen einfach eine kostenlose Variante. Öffentliche Orte sind jedoch eine ausgezeichnete Tarnung für Hacker, die leicht bösartige Hotspots einrichten und persönliche Daten von Personen stehlen können. Daniel Markuson, der Experte für digitale Datensicherheit bei NordVPN, sprach mit Hackern in anonymen Online-Foren über die Risiken eines unsicheren öffentlichen WLANs. Sie einigten sich darauf, ihr Fachwissen weiterzugeben und im Gegenzug anonym zu bleiben.

  • Vielzahl von Risiken für Gaming-Branche

    Angesichts ständig steigender Umsätze und Preisgelder in der Gaming- und E-Sports-Industrie gerät diese Branche immer stärker ins Visier krimineller Hacker. Nach Beobachtung der Sicherheitsspezialisten von Radware zielen die Angriffe dabei zunehmend auf individuelle Spieler statt auf die Infrastruktur. Allein bei der diesjährigen Dota 2-Weltmeisterschaft, die von fast einer Million Menschen weltweit online und von Tausenden persönlich in der Mercedes-Benz Arena in der Shanghai Chain beobachtet wurden, konnten 18 Teams über 34 Millionen Dollar an Geldpreisen gewinnen. Doch junge Erwachsene mit Firmensponsoring, die bei E-Sports-Events solche Preise abräumen, sind nur die Spitze des Eisbergs für die Branche. Mehrere aktuelle Berichte schätzen, dass auf dem Videospielmarkt im Jahr 2018 zwischen 130 und 140 Milliarden Dollar umgesetzt wurden und es in fünf Jahren bis zu 300 Milliarden Dollar sein könnten. Die Bedrohungen für Spieler und Betreiber werden vermutlich im Gleichschritt mit dem Marktvolumen wachsen.

  • Bisher keine technischen Abwehrmaßnahmen

    Bereits vor gut einem Jahr hat NTT Security, das "Security Center of Excellence" der NTT, vor Deepfakes gewarnt. Jetzt ist aus der bloßen Gefahr bittere Realität geworden: Mit einem Voice-Deepfake konnten Diebe mehr als 240.000 US-Dollar erbeuten. Bereits seit Längerem sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum mehr zu unterscheiden sind. Jetzt hat erstmals in größerem Ausmaß ein Voice-Deepfake zugeschlagen. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO ist es Angreifern gelungen, in den Besitz von 243.000 US-Dollar zu gelangen.

  • Der Kampf gegen Efail geht weiter

    Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird. "Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden", fasst IT-Sicherheitsexperte Christian Heutger zusammen. So wird seit Bekanntwerden der Sicherheitslücke kontinuierlich am S/MIME-Standard gearbeitet, um die Risiken zu minimieren: Der E-Mail-Zertifikat-Standard wurde auf Version 4 aktualisiert; die IETF empfiehlt sogar, auf AES-GCM zu migrieren. Zudem soll der entschlüsselte Inhalt vor Abschluss einer Integritätsprüfung nicht bearbeitet werden.