Abo
  • Services:
Anzeige
Durch Shellshock gehackt: Server von Yahoo Games.
Durch Shellshock gehackt: Server von Yahoo Games. (Bild: Screenshot)

Bash-Lücke: Server von Yahoo, Winzip und Lycos gehackt

Offenbar sind mehrere Server von Yahoo gehackt worden, allerdings nicht wie zunächst berichtet durch die Shellshock-Lücke. Trotzdem war der Exploit-Code von Shellshock im Spiel. Auch Lycos und die Winzip-Webseite sind betroffen.

Anzeige

Mehrere Server von Yahoo sind offenbar gehackt worden. Das berichtet der IT-Sicherheitsexperte Jonathan Hall auf der Webseite Reddit. Demnach befanden sich offenbar mindestens zwei Server von der Spieleplattform Yahoo Games in der Hand von Hackern, die vermutlich aus Rumänien stammen. Anders als zunächst angenommen lag der Hack wohl nicht an der Shellshock-Lücke in Bash.

Laut der Beschreibung von Hall, die er auf der Webseite seiner Firma Future South veröffentlicht hat, begann er nach der Entdeckung von Shellshock, mittels Google-Anfragen CGI-Skripte zu suchen, die potenziell für Shellshock anfällig sind. (Die Seite von Future South ist zurzeit sehr schlecht erreichbar, eine Kopie der Beschreibung findet sich im Google-Cache).

Nach einigen Versuchen fand Hall heraus, dass der Server des Packprogramms Winzip verwundbar war. Hall öffnete mittels Shellshock eine Remoteshell und fand heraus, dass er offenbar nicht der Einzige war, der diese Sicherheitslücke offen vorfand. Auf dem Winzip-Server liefen bereits in Perl geschriebene Skripte von IRC-Bots, die auf Hacks hinwiesen. Der Code eines dieser Bots war in rumänischer Sprache kommentiert. Durch eine nähere Analyse fand Hall heraus, dass dieser Bot mit anderen Servern kommunizierte, darunter befanden sich Server von Lycos und Yahoo. Hall gelang es, sich auf diese Server ebenfalls einzuloggen, auf mindestens zwei Yahoo-Servern hatten die vermutlich rumänischen Hacker offenbar Root-Zugriff.

Auf Anfrage von Golem.de hatte Yahoo bestätigt, dass einige Server kompromittiert wurden. Das Unternehmen habe jedoch keine Hinweise darauf, dass Nutzerdaten davon betroffen seien.

Der für die IT-Sicherheit bei Yahoo verantwortliche Alex Stamos hat inzwischen auf Hacker News den Vorfall erklärt. Demnach ereignete sich der Hack offenbar auf sehr ungewöhnliche Weise. Die betroffenen Rechner hatten bereits Updates für die Shellshock-Lücke erhalten. Trotzdem funktionierte der Exploit-Code, mit dem der Shellshock-Server hackbar war. Ein Tool, das Yahoo zur Überwachung der Logdateien verwendete, sprang auf den entsprechenden Exploit-Code an und erlaubte ein Eindringen in die Server.

Hall versuchte offenbar auf verschiedenen Wegen, Yahoo über den Vorfall zu informieren. Erst als Hall Medien und das FBI informierte, reagierte Yahoo. Yahoo antwortete Hall und entschuldigte sich für die Schwierigkeiten bei der Erreichbarkeit. Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug-Bounty-Programms des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer Sicherheitslücken erhielt.

Stamos widerspricht Halls Darstellung. Hall habe nicht versucht, Yahoo über deren Security-Kontaktadresse zu erreichen. Die Kontaktadresse security@yahoo.com werde permanent gelesen, ebenso Bericht,e die über das Bug-Bounty-Programm eingereicht werden. Eine Stunde, nachdem Hall an Yahoos CEO Marissa Mayer eine Mail geschrieben hatte, habe man die entsprechenden Server vom Netz genommen, so Stamos.

Ob die Hacks von Lycos und Winzip über Shellshock erfolgen, ist bislang nicht klar, es ist aber wohl davon auszugehen. Die spezielle Lücke im Yahoo-Monitoring dürfte nur dort vorhanden sein.

Nachtrag vom 07. Oktober 2014, 09:47 Uhr

Ursprünglich hatten wir berichtet, der Yahoo-Hack sei mittels der Shellshock-Lücke durchgeführt worden. Das ist einem Statement von Yahoo-Sicherheitschef Alex Stamos zufolge falsch. Wir haben Text und Überschrift entsprechend angepasst.


eye home zur Startseite
Bizzi 07. Okt 2014

Manche lassen sich wohl nicht so leicht unterkriegen. Nach Jahren wird mal wieder drauf...

angrydanielnerd 07. Okt 2014

Ob das so viel bringt ne GMail Adresse zu abusen, dann besorgt er sich eben ne andere...

Leguk 07. Okt 2014

Hallo, Das mit diesem 25 Dollar Gutschein ist ja glaube ich nur eine Art Verarschung...

droucles 07. Okt 2014

Leider kickt sich Marissa als Langfristinvestment nicht nur erst seit vorgestern raus...

Cyberlink 06. Okt 2014

Dazu fehlt mir in der Liste aber noch Geocities ;)



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG, Bielefeld
  3. imbus AG, Hofheim, Köln, Möhrendorf, München, Norderstedt
  4. FRITZ & MACZIOL group, deutschlandweit


Anzeige
Top-Angebote
  1. 0,91€
  2. 94,90€ statt 109,90€
  3. 74,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Keysniffer

    Millionen kabellose Tastaturen senden Daten im Klartext

  2. Here WeGo

    Here Maps kommt mit neuem Namen und neuen Funktionen

  3. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  4. Pokémon Go

    Pikachu versus Bundeswehr

  5. Smartphones

    Erste Chips mit 10-nm-Technik sind bei den Herstellern

  6. Nintendo

    Wii U findet kaum noch Käufer

  7. BKA-Statistik

    Darknet und Dunkelfelder helfen Cyberkriminellen

  8. Ticwatch 2

    Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

  9. Hardware und Software

    Facebook legt 360-Grad-Kamera offen

  10. Licht

    Osram verkauft sein LED-Geschäft nach China



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

  1. Re: Ganz und gar nicht günstig

    svenjamin | 21:09

  2. Re: Skript Kiddies

    FreiGeistler | 21:07

  3. Re: ich bete, dass das stimmt

    ubuntu_user | 21:07

  4. Re: Ich sag nur zwei Dinge

    Mingfu | 21:07

  5. Re: Zu meiner Zeit...

    quineloe | 21:04


  1. 19:16

  2. 17:37

  3. 16:32

  4. 16:13

  5. 15:54

  6. 15:31

  7. 15:14

  8. 14:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel