"Zombie"-Exploits – im Cache von Suchmaschinen konserviert

10.12.2007
Die Cache-Engines großer Suchmaschinen bieten offenbar nach wie vor ein sicheres Versteck für Schadcode.

Die jüngste Warnung kommt von dem israelischen Sicherheitsanbieter Aladdin, dessen Forschungsteam bei der Analyse einer gehackten Universitäts-Site auf genau diese Art von "poisoned Cache" stieß: Obwohl die ursprüngliche Web-Seite vom Netz genommen worden war, konnte sich der (Schad)Code weiter verbreiten, da er im Cache diverser großee Suchmaschinen weiterlebte. Hinzu kam, dass der gecachte Schadcode URL-Filter umgehen konnte, da diese lediglich die URL der Originalseite blockierten, nicht aber die über eine Search-Engine gefundene, sprich: aus deren Cache indizierte Site.

Von dem Problem betroffen sind nach Angaben von Aladdin Google, Yahoo Search und MSN Live. Laut Ofer Elzam, Director Product Marketing bei Aladdin, können gecachte Seiten wochen- oder sogar monatelang in ihrem Originalzustand aktiv bleiben - bis der Cache-Algorithmus seinen Speicher aktualisiert.

Diese Art des "Cache Poisoning" wurde bereits vor rund vier Jahren entdeckt. Im vergangenen Jahr hatte die Security-Firma Finjan darauf hingewiesen, dass das Problem teilweise auch die Caching-Systeme von ISPs und Unternehmen betrifft. Dies sei mehr als eine theoretische Bedrohung, durch die Speicher und Caching-Server unbeabsichtigt zum größten "legitimen" Lagerplatz für Schadcode geraten könnten, kommentierte Finjan-CTO Yuval Ben-Itzhak seinerzeit die Schwachstelle. "Fast jede bösartige Web-Seite hat eine Kopie auf einem Caching-Server."

Die von Aladdin dokumentierte Attacke umfasste ein Nest von miteinander verbundenen Websites sowie mehr als hundert Trojaner. Über die Hälfte dieser Schädlinge war für signaturbasierende Scanning-Produkte nicht zu entdecken. Zudem ließen sich von gecachten Sites aus ausgefeilte Cross-Site-Scripting- sowie Code-Injection-Angriffe lancieren, so Aladdin. Für Elzam ist die Entdeckung ein Indiz dafür, dass Suchmaschinenanbieter offenbar nichts zur Behebung des Problems getan haben. Im Prinzip seien sie diejenigen, die die Nutzer infizierten - nun stelle sich die Frage, inwieweit sie sich verantwortlich fühlten. (kf)