Anzeige
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Evil Jpegs: Foto-Upload schleust Schadcode ein

Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Fotos im Jpeg-Format werden beim Hochladen auf manche Webserver nur unzureichend geprüft. Darüber lässt sich Schadcode einschleusen und so unter Umständen ein gesamtes Netzwerk infiltrieren.

Anzeige

Der IT-Sicherheitsexperte Marcus Murray hat sich in die IT-Infrastruktur einer US-Bundesbehörde gehackt, bis hin zum Domainserver - mit Administratorrechten. Den Namen der Behörde wollte er nicht nennen. Murray nutzte dafür die Upload-Funktion eines Webservers und ein manipuliertes Profilfoto im Jpeg-Format. Sein Hack zeigt, dass Fotos oftmals nur unzureichend auf Schadcode untersucht werden und welche Konsequenzen das haben kann. Murray präsentiert seinen Angriff diese Woche auf der Sicherheitskonferenz RSA Security in San Francisco.

Murray untersuchte zunächst, ob er eine ausführbare Datei mit der Endung JPG auf den Windows-Webserver hochladen konnte. Dies verweigerte die Upload-Funktion erwartungsgemäß. Offenbar überprüft der Server den Header der manipulierten Datei, ob es sich tatsächlich um ein Jpeg-Format handelt, und ignorierte die Dateiendung. So weit reagierte der Server vorbildlich.

Wenn der Server aber die Dateiendung ignorierte, müsste es doch möglich sein, ein manipuliertes Jpeg-Bild hochzuladen, dachte sich Murray. Und tatsächlich konnte er sich so Zugriff auf den Webserver verschaffen. Dort fand er genügend Informationen, um sich weiter in die IT-Infrastruktur hineinzuhacken.

Schadcode im Foto ausführen

Sein Trick: Er platzierte Schadcode in das Kommentarfeld der Exif-Informationen in einer Jpeg-Datei. Dieser gab er wiederum die Endung aspx, wie sie bei Web Forms bei Microsofts Active Server Pages üblich sind. Der Webserver erkannte zwar das Jpeg als Bild, übersah aber die Dateiendung. Die Vorschaufunktion, die eigentlich das hochgeladene Bild anzeigen sollte, führte dann den Code in dem Kommentarfeld in Form einer Shell aus. Dort konnte Murray sich dann zunächst Informationen über den Server verschaffen, weiteren Code einschleusen und ausführen, durch den er Zugriff auf den Webserver über das Hackerwerkzeug Metasploit erlangte.

Der Webserver holte sich Daten von einem SQL-Server im gleichen Netz, dessen IP-Adresse und auch Zugangsdaten Murray in einem Backup des Codes auf dem Webserver entdeckte. Darüber erhielt er Zugang zunächst zu dem Server mit der Datenbank. Hier konnte er die IP-Adresse des DNS-Servers auslösen, der oftmals und auch in diesen Fall gleichzeitig der Domain-Controller ist. Mit Metasploit konnte sich Murray dann mit administrativen Rechten Zugriff auf den Domain-Controller verschaffen.


eye home zur Startseite
geeky 22. Apr 2015

Das stimmt schon - Allerdings kann der Webserver ja nicht hellsehen und einfach so...

M. 22. Apr 2015

Das Problem ist, dass viele die Validierung falsch angehen. Wichtig ist, unter welchen...

freebyte 22. Apr 2015

Gibts einen schönen Artikel in der F.A.Z. zum Thema: http://www.faz.net/aktuell...

b1n0ry 22. Apr 2015

r57.php.jpg lässt grüßen. Gute alte Zeiten :D

Argbeil 22. Apr 2015

Hat sich erledigt, habs verstanden, danke. Ist doch im Prinzip nur ein Upload-Validation...

Kommentieren



Anzeige

  1. Technischer Redakteur (m/w)
    über Hanseatisches Personalkontor Stuttgart, Crailsheim
  2. Client Services Software Support (m/w)
    State Street Bank International GmbH, Frankfurt
  3. Software Ingenieur (m/w) Embedded Systems (Antriebstechnik)
    YASKAWA Europe GmbH, Eschborn bei Frankfurt am Main
  4. iOS-Developer (m/w)
    XYRALITY GmbH, Hamburg

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Gehalt.de

    Was Frauen in IT-Jobs verdienen

  2. Kurzstreckenflüge

    Lufthansa verspricht 15 MBit/s für jeden an Bord

  3. Anonymisierungsprojekt

    Darf ein Ex-Geheimdienstler für Tor arbeiten?

  4. Schalke 04

    Erst League of Legends und nun Fifa

  5. Patentverletzungen

    Qualcomm verklagt Meizu

  6. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  7. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  8. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  9. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  10. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

  1. Re: Hahaha China und...

    Bosancero | 04:38

  2. Re: In 24 Jahren IT habe ich noch keine IT...

    Dadie | 03:14

  3. Re: Tor ist unsicher geworden

    Pjörn | 03:04

  4. Re: Leidige Frage - gleiche Arbeit, gleicher Lohn

    slead | 03:00

  5. Re: es wird mit keinem wort erwähnt...

    Unix_Linux | 02:27


  1. 18:37

  2. 17:43

  3. 17:29

  4. 16:56

  5. 16:40

  6. 16:18

  7. 16:00

  8. 15:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel