Auch völlig unverdächtige und renommierte Webseiten können zur Verseuchung des besuchenden Rechners mit Viren oder Malware führen. Was bis vor kurzem noch technisch so gut wie unmöglich schien, ist mittlerweile Realität. Ein Internet-Nutzer besucht die Webseite einer angesehenen Institution, z.B. die Seite einer Behörde, um dort nach den Öffnungszeiten zu schauen und verlässt die Seite ohne auch nur einen Link anzuklicken. Dabei sollte doch eigentlich nichts passieren. Und doch wurde sein Rechner durch diese harmlose Aktivität infiziert, ohne dass der Virenscanner Alarm geschlagen hat oder seine Firewall dagegen etwas ausrichten konnte.

Erstmalig in großen Stil trat diese Form eines Hacker-Angriffs im Mai 2009 in Erscheinung. Als die Sicherheitsexperten von CERT vor einer Drive-by-Attacke warnten, die über manipulierte Google-Suchergebnisse Besucher-Rechner infizierte. Der Angriff wurde unter dem Namen Gumblar bekannt, da er seinen Ursprung auf der chinesischen Webseite www.gumblar.cn hatte.

Wenn der eigene Rechner infiziert wurde, konnte es passieren, dass Google-Ergebnisse nicht mehr zu den richtigen, sondern zu manipulierten Web-Seiten linkten. Dies liegt nicht an Google, denn die Manipulation erfolgt nur auf dem Computer des Besuchers und nicht bei Google selbst. Umgeleitet wird der User dann auf gefälschte Webseiten, beispielsweise von Banken oder Social Networks, wo die Besucher ihre Passwörter eingeben sollten (die damit in die Hände der Hacker gelangten). Daneben kann aber auch das Lesen einer HTML-Mail, die schädlichen Drive-by-Code enthält zu einer Infektion führen. Gut, wenn der Mail-Client die Ausführung zu verhindern weiß.

Der Ablauf der Gumblar-Attacke verlief in mehreren Phasen. Zunächst wurden mit Hilfe gestohlener FTP-Zugangsdaten oder über Sicherheitslücken von Webservern, Webseiten oder Javascript-Bibliotheken mit dem Schad-Code infiziert. Ruft ein Besucher nun eine derart infizierte Seite auf, so wird nebenher dieser Schad-Code aufgerufen. Mit Hilfe eines beteiligten Malware-Servers werden nun an dem Client (dem Besucherrechner) verschiedene Exploits ausprobiert. Hat einer dieser Angriffsversuche Erfolg, so schiebt der Malware-Server dem Client ein Kuckucksei in Form eines Malware-Downloads unter. Dieser Vorgang braucht weder das Zutun des Benutzers noch kann er von ihm verhindert werden. Da es sich bei dem eingesetzten Javascript um eine Plattform übergreifende Technik handelt, ist gegen diese Infektionen kein Betriebssystem wirklich immun.

In der nächsten Phase belauscht die soeben installierte Malware die Netzwerk-Aktivitäten auf dem verseuchten Client-Rechner oder schneidet Tastatureingaben mit. Damit können beispielsweise Zugangsdaten für das Online-Banking oder andere sensible Informationen schnell in kriminelle Hände gelangen. Damit ließen sich dann in der dritten Phase Gelder von fremden Konten über die üblichen Wege ins Ausland transferieren.

Ausbreitung

Die vier wichtigsten Infektionswege für Drive-by-Attacken sind derzeit:

1. Infizierte Webserver durch Sicherheitslücken des Webservers /gestohlene FTP-Zugangsdaten
2. Inhalte, die durch Web-Besucher beigesteuert werden sowie
3. Extern eingebundene Widgets
4. Werbung die von externen Servern eingebunden wird.

Wie man sieht rührt die Gefahr von Drive-by-Infektionen nicht unbedingt von Sicherheitsmängeln des Webservers her. Vielmehr können es externe Inhalte sein, die auf der Webseite ohne hinreichende Prüfung eingebunden werden. Vor allem Web-Dienste, die Uploads durch Benutzer zulassen, oder das Schreiben von Beiträgen wie Kommentaren ermöglichen, machen es den Angreifern mit mangelhaften Upload-Skripten und Formularen oft viel zu leicht.
Eine weitere Gefahrenquelle kann extern eingeblendete Werbung sein, wenn der Werbeanbieter nicht sorgfältig ist. Das gleiche gilt für Widgets (z.B. Besucherzähler) die von externen Anbietern bereitgestellt werden. Gegen solche Gefahren ist kein Webserver immun, denn es bedarf nicht einmal einer Sicherheitslücke auf dem betreffenden Webserver.

Jeder ist gefährdet!

Auf Client-Seite ist keineswegs nur das Betriebssystem oder der Browser gefährdet. Zahlreiche Applikationen weisen Sicherheitslücken auf. Zwar wurden dies meist schon behoben, aber was hilft das, wenn der User nicht regelmäßig sein System mit den notwendigen Updates versieht. Hier eine kleine Auswahl gefährdeter Applikationen:

• Adobe Flash Player
• Adobe Reader
• Apples Quicktime Player
• Chrome (Google)
• Firefox
• Internet Explorer
• Real Networks Realplayer
• Safari
• Winzip
• und potenziell alle Applikationen die Javascript ausführen können!

Besonders hässlich: ein von Microsoft ungefragt installiertes Firefox-Add-On gestattet Webseiten die ungefragte Installation von .NET-Programmen!

Zu den verwundbarsten Betriebssystemen und Webbrowsern zählen:

• Windows XP Service Pack 2 & 3
• Microsoft Internet Explorer 6 für Windows XP Service Pack 2,
• Microsoft Windows Internet Explorer 7 für Windows XP SP2,

Ein Update auf den Internet Explorer 8 ist daher dringend zu empfehlen, ein Update auf Vista - zumindest aus Sicherheitsgründen.

Mac OS X von Apple ist ab der Version 10.5.7 vom 12. Mai und Safari ab 4 Beta als sicher einzustufen. Leider hat Apple zahlreiche Sicherheitslücken nicht mehr in den älteren finalen Safari-Versionen geschlossen (d.h. Safari 2.x und 3.x).

Ebenfalls verwundbar war Chrome (1.x und 2.x), der mittlerweile durch Updates gepatched wurde. Und auch Firefox 3.0 ist ohne zusätzliche Plugins wie NoScript, Netcraft Toolbar o.ä. nicht immun.

Fazit

Angesichts der zahlreichen Schwachstellen der Internet-Browser, aber auch Plattform übergreifender Applikationen wie Adobes Acrobat Reader oder Apples Quick Time sollten User dringend die folgenden Ratschläge beherzigen:

• Regelmäßig Updates von Betriebssystem und allen Applikationen einspielen
• Update für Web-Browser sofort installieren
• Nicht standardmäßig die Ausführung von Javascript im Browser gestatten - auch wenn dies zu Lasten des Komforts geht. Um auf einer Behördenseite nach den Öffnungszeiten zu schauen, sollte Javascript unnötig sein
• Ggf. Installation von zusätzlichen Sicherheits-Plugins oder Add-Ons für den Browser
• E-Mails niemals als HTML ausführen lassen
• Virenscanner installieren und diesen stets aktuell halten
• Kritische Webseiten, wie die der Hausbank, nur durch direkte Eingabe der URL in die Adresszeile des Browsers aufrufen
• Ggf. Browser innerhalb einer virtuellen Maschine ausführen (was zugegebenermaßen die Arbeit beeinträchtigen kann)
• Nutzung einer Firewall-Software oder eines Routers mit Firewall-Funktionalität

Sicherheit hat ihren Preis. Sie geht vor allem zu Lasten des Komforts beim Surfen. Letztendlich muss also jeder für sich abwägen und entscheiden, wie viel Sicherheit er haben möchte und wann der Komfort vorrangig ist.

Links:

CERT (englisch): http://www.cert.org/
Technische Infos zum Ablauf einer Gumblar-Infektion (englisch): http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-a...
NoScript Add-On für Firefox: https://addons.mozilla.org/de/firefox/addon/722
Netcraft Toolbar (englisch): http://toolbar.netcraft.com/
Meldung auf Heise.de zu Malware-Seiten: http://www.heise.de/security/meldung/Google-veroeffentlicht-Top-10-der-Malware-Sites-220669.html
AVG Internet Security: http://www.avg.com/de-de/startseite
Avira Antiviren-Software: http://www.avira.com/de/index