Abo
  • Services:
Anzeige
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Evil Jpegs: Foto-Upload schleust Schadcode ein

Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Fotos im Jpeg-Format werden beim Hochladen auf manche Webserver nur unzureichend geprüft. Darüber lässt sich Schadcode einschleusen und so unter Umständen ein gesamtes Netzwerk infiltrieren.

Anzeige

Der IT-Sicherheitsexperte Marcus Murray hat sich in die IT-Infrastruktur einer US-Bundesbehörde gehackt, bis hin zum Domainserver - mit Administratorrechten. Den Namen der Behörde wollte er nicht nennen. Murray nutzte dafür die Upload-Funktion eines Webservers und ein manipuliertes Profilfoto im Jpeg-Format. Sein Hack zeigt, dass Fotos oftmals nur unzureichend auf Schadcode untersucht werden und welche Konsequenzen das haben kann. Murray präsentiert seinen Angriff diese Woche auf der Sicherheitskonferenz RSA Security in San Francisco.

Murray untersuchte zunächst, ob er eine ausführbare Datei mit der Endung JPG auf den Windows-Webserver hochladen konnte. Dies verweigerte die Upload-Funktion erwartungsgemäß. Offenbar überprüft der Server den Header der manipulierten Datei, ob es sich tatsächlich um ein Jpeg-Format handelt, und ignorierte die Dateiendung. So weit reagierte der Server vorbildlich.

Wenn der Server aber die Dateiendung ignorierte, müsste es doch möglich sein, ein manipuliertes Jpeg-Bild hochzuladen, dachte sich Murray. Und tatsächlich konnte er sich so Zugriff auf den Webserver verschaffen. Dort fand er genügend Informationen, um sich weiter in die IT-Infrastruktur hineinzuhacken.

Schadcode im Foto ausführen

Sein Trick: Er platzierte Schadcode in das Kommentarfeld der Exif-Informationen in einer Jpeg-Datei. Dieser gab er wiederum die Endung aspx, wie sie bei Web Forms bei Microsofts Active Server Pages üblich sind. Der Webserver erkannte zwar das Jpeg als Bild, übersah aber die Dateiendung. Die Vorschaufunktion, die eigentlich das hochgeladene Bild anzeigen sollte, führte dann den Code in dem Kommentarfeld in Form einer Shell aus. Dort konnte Murray sich dann zunächst Informationen über den Server verschaffen, weiteren Code einschleusen und ausführen, durch den er Zugriff auf den Webserver über das Hackerwerkzeug Metasploit erlangte.

Der Webserver holte sich Daten von einem SQL-Server im gleichen Netz, dessen IP-Adresse und auch Zugangsdaten Murray in einem Backup des Codes auf dem Webserver entdeckte. Darüber erhielt er Zugang zunächst zu dem Server mit der Datenbank. Hier konnte er die IP-Adresse des DNS-Servers auslösen, der oftmals und auch in diesen Fall gleichzeitig der Domain-Controller ist. Mit Metasploit konnte sich Murray dann mit administrativen Rechten Zugriff auf den Domain-Controller verschaffen.


eye home zur Startseite
geeky 22. Apr 2015

Das stimmt schon - Allerdings kann der Webserver ja nicht hellsehen und einfach so...

M. 22. Apr 2015

Das Problem ist, dass viele die Validierung falsch angehen. Wichtig ist, unter welchen...

freebyte 22. Apr 2015

Gibts einen schönen Artikel in der F.A.Z. zum Thema: http://www.faz.net/aktuell...

b1n0ry 22. Apr 2015

r57.php.jpg lässt grüßen. Gute alte Zeiten :D

Argbeil 22. Apr 2015

Hat sich erledigt, habs verstanden, danke. Ist doch im Prinzip nur ein Upload-Validation...



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. STEMMER IMAGING GmbH, Puchheim bei München
  3. EVI Audio GmbH, Straubing
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Bestimmung, Life of Pi, House of Wax, Predator, Der Polarexpress, X-Men)
  2. (u. a. Jurassic World, Die Unfassbaren, Creed, Interstellar, Mad Max Fury Road)
  3. 142,44€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Up- und Download

    Breites Bündnis ruft nach flächendeckender Gbit-Versorgung

  2. Kurznachrichtendienst

    Twitter bewertet sich mit 30 Milliarden US-Dollar

  3. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  4. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  5. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  6. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  7. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  8. Die Woche im Video

    Schneewittchen und das iPhone 7

  9. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  10. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App

Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. Osmo Mobile DJI präsentiert Gimbal fürs Smartphone
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

  1. Re: macOS ist fertig

    MrUNIMOG | 01:39

  2. Re: Hübsches kleines Ding

    sg-1 | 01:19

  3. Re: Wenns blöd läuft dann richtig...

    Carsten W | 01:01

  4. Re: Untypisch

    MrUNIMOG | 00:35

  5. Re: Auch Win 7 ist ein Problem

    cpt.dirk | 00:11


  1. 15:10

  2. 13:15

  3. 12:51

  4. 11:50

  5. 11:30

  6. 11:13

  7. 11:03

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel