Malware-Autoren nutzen Schwachstelle in RealPlayer

Web-Seite von Computer Associates gehackt

07.01.2008
Hacker haben sich vergangene Woche an der Website von Computer Associates (CA) zu schaffen gemacht und Online-Besucher auf eine bösartige, in China gehostete Seite umgeleitet.

Das Problem ist mittlerweile offenbar behoben – doch gecachte Versionen einiger Seiten im Pressebereich von Ca.com zeigen, dass Besucher der Site in der vergangenen Woche auf die chinesische Web-Adresse "uc8010.com" umgeleitet wurden. Letztere beherbergte laut Marcus Sachs, Director des SANS Internet Strom Center (ISC), seit Ende Dezember Malware.

Dem Security-Experten zufolge basiert die Manipulation auf einem ähnlichen Prinzip wie eine Attacke auf die Web-Seite des US-amerikanischen Dolphin Stadium im vergangenen Jahr, bei dem Football-Fans, die dort nach Informationen zum Super Bowl suchten, infiziert wurden. Auch damals sei es Hackern gelungen, JavaScript in den HTML-Titel oder -Body einzufügen.

Es sei gut möglich, dass CA den Bereich seiner Online-Presseinformationen nicht selbst hoste, da diese Aufgabe häufig an Dritte ausgelagert werde, so Sachs. Oft genügten schon ein falsch konfigurierter Web-Application-Server oder ein Web- beziehungsweise Datenbank-Programmierfehler aus, um Hackern das Einschleusen ihres Schadcodes zu ermöglichen.

Die uc8010.com-Domäne liefert Angriffscode, der eine kürzlich gepatchte Schwachstelle in der Multimedia-Software RealPlayer von RealNetworks ausnutzt. Laut Sachs haben die hinter dieser Domäne stehenden Kriminellen bereits Zehntausende Web-Seiten gehackt und mit Schadcode versehen, der Besucher der Sites an bösartige Server weiter leitet.

In einer Mitteilung zum uc8010.com-Problem empfiehlt SANS IT-Verantwortlichen, besagte Adresse zu blocken. Darüber hinaus sei es ratsam, auch ucmal.com, eine weitere in China gehostete Domäne, auf die Blocklist zu setzen, die mit einer ähnlichen Angriffsgattung in Zusammenhang gebracht wird, rät Sachs. (kf)