Abo
  • Services:
Anzeige
Durch Shellshock gehackt: Server von Yahoo Games.
Durch Shellshock gehackt: Server von Yahoo Games. (Bild: Screenshot)

Bash-Lücke: Server von Yahoo, Winzip und Lycos gehackt

Offenbar sind mehrere Server von Yahoo gehackt worden, allerdings nicht wie zunächst berichtet durch die Shellshock-Lücke. Trotzdem war der Exploit-Code von Shellshock im Spiel. Auch Lycos und die Winzip-Webseite sind betroffen.

Anzeige

Mehrere Server von Yahoo sind offenbar gehackt worden. Das berichtet der IT-Sicherheitsexperte Jonathan Hall auf der Webseite Reddit. Demnach befanden sich offenbar mindestens zwei Server von der Spieleplattform Yahoo Games in der Hand von Hackern, die vermutlich aus Rumänien stammen. Anders als zunächst angenommen lag der Hack wohl nicht an der Shellshock-Lücke in Bash.

Laut der Beschreibung von Hall, die er auf der Webseite seiner Firma Future South veröffentlicht hat, begann er nach der Entdeckung von Shellshock, mittels Google-Anfragen CGI-Skripte zu suchen, die potenziell für Shellshock anfällig sind. (Die Seite von Future South ist zurzeit sehr schlecht erreichbar, eine Kopie der Beschreibung findet sich im Google-Cache).

Nach einigen Versuchen fand Hall heraus, dass der Server des Packprogramms Winzip verwundbar war. Hall öffnete mittels Shellshock eine Remoteshell und fand heraus, dass er offenbar nicht der Einzige war, der diese Sicherheitslücke offen vorfand. Auf dem Winzip-Server liefen bereits in Perl geschriebene Skripte von IRC-Bots, die auf Hacks hinwiesen. Der Code eines dieser Bots war in rumänischer Sprache kommentiert. Durch eine nähere Analyse fand Hall heraus, dass dieser Bot mit anderen Servern kommunizierte, darunter befanden sich Server von Lycos und Yahoo. Hall gelang es, sich auf diese Server ebenfalls einzuloggen, auf mindestens zwei Yahoo-Servern hatten die vermutlich rumänischen Hacker offenbar Root-Zugriff.

Auf Anfrage von Golem.de hatte Yahoo bestätigt, dass einige Server kompromittiert wurden. Das Unternehmen habe jedoch keine Hinweise darauf, dass Nutzerdaten davon betroffen seien.

Der für die IT-Sicherheit bei Yahoo verantwortliche Alex Stamos hat inzwischen auf Hacker News den Vorfall erklärt. Demnach ereignete sich der Hack offenbar auf sehr ungewöhnliche Weise. Die betroffenen Rechner hatten bereits Updates für die Shellshock-Lücke erhalten. Trotzdem funktionierte der Exploit-Code, mit dem der Shellshock-Server hackbar war. Ein Tool, das Yahoo zur Überwachung der Logdateien verwendete, sprang auf den entsprechenden Exploit-Code an und erlaubte ein Eindringen in die Server.

Hall versuchte offenbar auf verschiedenen Wegen, Yahoo über den Vorfall zu informieren. Erst als Hall Medien und das FBI informierte, reagierte Yahoo. Yahoo antwortete Hall und entschuldigte sich für die Schwierigkeiten bei der Erreichbarkeit. Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug-Bounty-Programms des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer Sicherheitslücken erhielt.

Stamos widerspricht Halls Darstellung. Hall habe nicht versucht, Yahoo über deren Security-Kontaktadresse zu erreichen. Die Kontaktadresse security@yahoo.com werde permanent gelesen, ebenso Bericht,e die über das Bug-Bounty-Programm eingereicht werden. Eine Stunde, nachdem Hall an Yahoos CEO Marissa Mayer eine Mail geschrieben hatte, habe man die entsprechenden Server vom Netz genommen, so Stamos.

Ob die Hacks von Lycos und Winzip über Shellshock erfolgen, ist bislang nicht klar, es ist aber wohl davon auszugehen. Die spezielle Lücke im Yahoo-Monitoring dürfte nur dort vorhanden sein.

Nachtrag vom 07. Oktober 2014, 09:47 Uhr

Ursprünglich hatten wir berichtet, der Yahoo-Hack sei mittels der Shellshock-Lücke durchgeführt worden. Das ist einem Statement von Yahoo-Sicherheitschef Alex Stamos zufolge falsch. Wir haben Text und Überschrift entsprechend angepasst.


eye home zur Startseite
Bizzi 07. Okt 2014

Manche lassen sich wohl nicht so leicht unterkriegen. Nach Jahren wird mal wieder drauf...

angrydanielnerd 07. Okt 2014

Ob das so viel bringt ne GMail Adresse zu abusen, dann besorgt er sich eben ne andere...

Leguk 07. Okt 2014

Hallo, Das mit diesem 25 Dollar Gutschein ist ja glaube ich nur eine Art Verarschung...

droucles 07. Okt 2014

Leider kickt sich Marissa als Langfristinvestment nicht nur erst seit vorgestern raus...

Cyberlink 06. Okt 2014

Dazu fehlt mir in der Liste aber noch Geocities ;)



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Bühl
  2. über Robert Half Technology, Großraum Düsseldorf
  3. Mobile Trend GmbH, Hamburg
  4. Zurich Gruppe Deutschland, Köln


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. Xbox One Special Edition Controller je 37,00€, Game of...
  2. für je 11,99€
  3. 22,46€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Project Mortar

    Mozilla möchte Chrome-Plugins für Firefox unterstützen

  2. Remedy

    Steam-Version von Quantum Break läuft bei Nvidia flotter

  3. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  4. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  5. Die Woche im Video

    Grüne Welle und grüne Männchen

  6. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  7. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  8. Internetsicherheit

    Die CDU will Cybersouverän werden

  9. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  10. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

Microsoft: Das bringt Windows Server 2016
Microsoft
Das bringt Windows Server 2016
  1. Microsoft Windows Server 2016 wird im September fertig

Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

  1. Die ist gut

    mrgenie | 17:24

  2. Re: VLC Alternative?

    regiedie1. | 17:23

  3. Re: Geldvorteil

    netzwerg | 17:21

  4. Re: Terroristen sind nicht doof..

    jak | 17:20

  5. Re: Wenn das so weiter geht gibt es nur noch...

    regiedie1. | 17:20


  1. 13:15

  2. 12:30

  3. 11:45

  4. 11:04

  5. 09:02

  6. 08:01

  7. 19:24

  8. 19:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel