Abo
  • Services:

Bash-Lücke: Server von Yahoo, Winzip und Lycos gehackt

Offenbar sind mehrere Server von Yahoo gehackt worden, allerdings nicht wie zunächst berichtet durch die Shellshock-Lücke. Trotzdem war der Exploit-Code von Shellshock im Spiel. Auch Lycos und die Winzip-Webseite sind betroffen.

Artikel veröffentlicht am , Hanno Böck
Durch Shellshock gehackt: Server von Yahoo Games.
Durch Shellshock gehackt: Server von Yahoo Games. (Bild: Screenshot)

Mehrere Server von Yahoo sind offenbar gehackt worden. Das berichtet der IT-Sicherheitsexperte Jonathan Hall auf der Webseite Reddit. Demnach befanden sich offenbar mindestens zwei Server von der Spieleplattform Yahoo Games in der Hand von Hackern, die vermutlich aus Rumänien stammen. Anders als zunächst angenommen lag der Hack wohl nicht an der Shellshock-Lücke in Bash.

Stellenmarkt
  1. HELBAKO GmbH, Heiligenhaus
  2. Dataport, Hamburg, Altenholz bei Kiel

Laut der Beschreibung von Hall, die er auf der Webseite seiner Firma Future South veröffentlicht hat, begann er nach der Entdeckung von Shellshock, mittels Google-Anfragen CGI-Skripte zu suchen, die potenziell für Shellshock anfällig sind. (Die Seite von Future South ist zurzeit sehr schlecht erreichbar, eine Kopie der Beschreibung findet sich im Google-Cache).

Nach einigen Versuchen fand Hall heraus, dass der Server des Packprogramms Winzip verwundbar war. Hall öffnete mittels Shellshock eine Remoteshell und fand heraus, dass er offenbar nicht der Einzige war, der diese Sicherheitslücke offen vorfand. Auf dem Winzip-Server liefen bereits in Perl geschriebene Skripte von IRC-Bots, die auf Hacks hinwiesen. Der Code eines dieser Bots war in rumänischer Sprache kommentiert. Durch eine nähere Analyse fand Hall heraus, dass dieser Bot mit anderen Servern kommunizierte, darunter befanden sich Server von Lycos und Yahoo. Hall gelang es, sich auf diese Server ebenfalls einzuloggen, auf mindestens zwei Yahoo-Servern hatten die vermutlich rumänischen Hacker offenbar Root-Zugriff.

Auf Anfrage von Golem.de hatte Yahoo bestätigt, dass einige Server kompromittiert wurden. Das Unternehmen habe jedoch keine Hinweise darauf, dass Nutzerdaten davon betroffen seien.

Der für die IT-Sicherheit bei Yahoo verantwortliche Alex Stamos hat inzwischen auf Hacker News den Vorfall erklärt. Demnach ereignete sich der Hack offenbar auf sehr ungewöhnliche Weise. Die betroffenen Rechner hatten bereits Updates für die Shellshock-Lücke erhalten. Trotzdem funktionierte der Exploit-Code, mit dem der Shellshock-Server hackbar war. Ein Tool, das Yahoo zur Überwachung der Logdateien verwendete, sprang auf den entsprechenden Exploit-Code an und erlaubte ein Eindringen in die Server.

Hall versuchte offenbar auf verschiedenen Wegen, Yahoo über den Vorfall zu informieren. Erst als Hall Medien und das FBI informierte, reagierte Yahoo. Yahoo antwortete Hall und entschuldigte sich für die Schwierigkeiten bei der Erreichbarkeit. Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug-Bounty-Programms des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer Sicherheitslücken erhielt.

Stamos widerspricht Halls Darstellung. Hall habe nicht versucht, Yahoo über deren Security-Kontaktadresse zu erreichen. Die Kontaktadresse security@yahoo.com werde permanent gelesen, ebenso Bericht,e die über das Bug-Bounty-Programm eingereicht werden. Eine Stunde, nachdem Hall an Yahoos CEO Marissa Mayer eine Mail geschrieben hatte, habe man die entsprechenden Server vom Netz genommen, so Stamos.

Ob die Hacks von Lycos und Winzip über Shellshock erfolgen, ist bislang nicht klar, es ist aber wohl davon auszugehen. Die spezielle Lücke im Yahoo-Monitoring dürfte nur dort vorhanden sein.

Nachtrag vom 07. Oktober 2014, 09:47 Uhr

Ursprünglich hatten wir berichtet, der Yahoo-Hack sei mittels der Shellshock-Lücke durchgeführt worden. Das ist einem Statement von Yahoo-Sicherheitschef Alex Stamos zufolge falsch. Wir haben Text und Überschrift entsprechend angepasst.



Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. 4,99€
  4. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

Bizzi 07. Okt 2014

Manche lassen sich wohl nicht so leicht unterkriegen. Nach Jahren wird mal wieder drauf...

angrydanielnerd 07. Okt 2014

Ob das so viel bringt ne GMail Adresse zu abusen, dann besorgt er sich eben ne andere...

Leguk 07. Okt 2014

Hallo, Das mit diesem 25 Dollar Gutschein ist ja glaube ich nur eine Art Verarschung...

droucles 07. Okt 2014

Leider kickt sich Marissa als Langfristinvestment nicht nur erst seit vorgestern raus...

Cyberlink 06. Okt 2014

Dazu fehlt mir in der Liste aber noch Geocities ;)


Folgen Sie uns
       


Golem.de ist Kratos - God of War (Live, keine Spoiler)

Die Handlung verraten wir nicht, trotzdem wollen wir das andersartige neue God of War besprechen. Zu diesem Zweck haben wir eine stellvertretende Mission herausgesucht, in der es nicht um die primäre Handlung geht. Ziel ist es, den Open-World-Ansatz zu zeigen, das Kampfsystem zu erklären und die Spielmechaniken zu verdeutlichen.

Golem.de ist Kratos - God of War (Live, keine Spoiler) Video aufrufen
Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

    •  /