Abo
  • Services:

UPnP-Router mit manipulierten Flash-Webseiten angreifbar

Unangenehm dürfte der Angriff etwa sein, wenn allgemeine Schwächen eines Betriebssystems parallel mit ausgenutzt werden. So sollte Windows XP in seinem Ur-Zustand oder mit Service Pack 1 ohne Router auf keinen Fall dem Internet ausgesetzt werden. Würmer wie Blaster/Lovsan kommen etwa in Verbindung mit einem UPnP-Flash-Banner so auch mit einem NAT-Router an den Rechner. In dem Falle sorgt ein NAT-Router nicht für zusätzliche Sicherheit, sondern stellt den Rechner dahinter auf dieselbe Stufe wie ein Rechner, der den Internetzugang direkt nutzt.

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Andere Angriffsmöglichkeiten wie die Manipulation des DNS-Server-Eintrages sollen laut GNU Citizen mit einigen Routern ebenfalls möglich sein: Das beinhaltet das Umleiten des nächsten Besuchs der Webseite der Hausbank auf eine Phishing-Seite. Auch die Umleitung von einer harmlosen Anwendung, die sich der Nutzer herunterladen möchte, auf eine Schadsoftware wäre denkbar.

Laut den Autoren des Artikels ist der einzige Weg, sich vor derartigen Angriffen zu schützen, das Abschalten von UPnP im heimischen Router und die Rückkehr zur aufwendigeren Konfiguration per Hand, die jedoch nicht jeder Benutzer beherrscht. Nicht bei allen Routern, die UPnP beherrschen, ist UPnP standardmäßig aktiviert, manche Modelle kommen aber im Auslieferungszustand mit aktiviertem UPnP daher. Das Abschalten von Flash im Browser wird vermutlich nicht helfen, da der Angriff prinzipiell auch über andere Webtechnologien möglich sein soll. In Kombination mit anderen Schwachstellen, wie etwa in der Routersoftware, dem Browser oder dem Betriebssystem, bietet UPnP durchaus Potenzial.

Auf das weniger verbreitete NAT-Port-Mapping-Protocol, das ähnlich wie UPnP funktioniert, geht der Artikel nicht ein. Auch hier können Anwendungen dem Router Anweisungen geben, um bestimmte Ports freizugeben. Ob sich Angriffe wie Änderungen des DNS-Servers auch hier durchführen lassen, bleibt bei NAT-PMP vorerst ungeklärt.

Weitere Fragen zu Angriffsmöglichkeiten beantwortet die Flash-UPnP-Attack-FAQ, die regelmäßig aktualisiert werden soll.

 UPnP-Router mit manipulierten Flash-Webseiten angreifbar
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 149€ (Bestpreis!)
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  3. (u. a. RT-AC5300 + Black Ops 4 für 255,20€ + Versand)
  4. ab 399€

DrAgOnTuX 18. Mai 2010

Kluges Kind :-)

phill 23. Jul 2009

als flash entwickler sag ich das is nur der anfang und ja der schadcode kann auf ner...

Peek 15. Jan 2008

tjoa, Murphys Law. Flash deaktivieren oder auf freie flash plugins (gnash?) umsteigen...

Martin F. 15. Jan 2008

Aber UPnP mit Authentifizierung wäre wirklich schön.

DrAgOnTuX 15. Jan 2008

Hab ich hier auch :) nen alten Compaq Deskpro P2 233MHz mit 64MB SD-RAM, zweiter...


Folgen Sie uns
       


i-Cristal autonomer Bus - Interview (englisch)

Der nächste Schritt steht an: Der französische Verkehrsbetrieb plant einen Test mit einem autonom fahenden Bus. Er soll Anfang 2020 in einer französischen Großstadt im normalen Verkehr fahren.

i-Cristal autonomer Bus - Interview (englisch) Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

Fifa 19 und PES 2019 im Test: Knapper Punktsieg für EA Sports
Fifa 19 und PES 2019 im Test
Knapper Punktsieg für EA Sports

Es ist eher eine Glaubens- als eine echte Qualitätsfrage: Fifa 19 oder PES 2019? Golem.de zieht anhand der Versionen für Playstation 4 den Vergleich - und kommt zu einem schwierigen, aber eindeutigen Urteil.
Ein Test von Olaf Bleich und Benedikt Plass-Fleßenkämper

  1. Fifa 19 angespielt Präzisionsschüsse, Zweikämpfe und mehr Taktik
  2. EA Sports Fifa 18 bekommt kostenloses WM-Update
  3. Bestseller Fifa 18 schlägt Call of Duty in Europa

    •  /