Web

 

Kombi-Attacken auf Firmen-PCs

25.04.2005

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsspezialisten warnen vor einer Kombination verschiedener Attacken, mit denen unbekannte Angreifer derzeit vor allem Unternehmen Schaden zufügen. In einem ersten Schritt erfolgt dabei das so genannte "Domain-Name-System- (DNS-)Poisoning", bei dem eine Schwachstelle innerhalb bestimmter DNS-Server ausgenutzt wird, um das Abbilden von URLs auf IP-Adressen zu manipulieren. Sämtliche an diesen Server eingehende Anfragen nach Web-Seiten einer beliebigen .com-Domain werden daraufhin an Server umgeleitet, die unter der Kontrolle der Angreifer stehen.

Diese Rechner prüfen, über welchen Browser die Abrufe gestellt wurden. Wenn es sich dabei um den Internet Explorer von Microsoft handelt, versuchen die Angreifer ein etwa 18 MB großes Softwarepaket zu installieren, das unter anderem Ad- und Spyware enthält. Auch der bekannte Trojaner "Krepper" soll sich darunter befinden. Das Vergiften des DNS-Servers stört zudem die Internet-Verbinung des Unternehmens. Nach Aussagen von Ken Dunham, Leiter Malicious Code beim auf Sicherheit spezialisierten Dienstleisters iDefense im US-Bundesstaat Virginia, geschieht das alles im Hintergrund, ohne das Wissen des Anwenders.

Der Experte schätzt, dass bislang etwa 20.000 Rechner auf diese Weise attackiert wurden. Derzeit sind davon vor allem Unternehmen in den USA betroffen. Kyle Hausgness vom Internet Storm Center (ISC) des SANS Institute schätzt, dass innerhalb von sechs Tagen etwa 500 Firmen Ziel der Angriffe waren. Dunham glaubt sogar, dass über 3.000 DNS-Server im Laufe des letzten Monats vergiftet wurden. Von Angriffen auf DNS-Server deutscher Unternehmen ist bislang nichts bekannt. (ave)