Abo
  • Services:
Anzeige
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Evil Jpegs: Foto-Upload schleust Schadcode ein

Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Fotos im Jpeg-Format werden beim Hochladen auf manche Webserver nur unzureichend geprüft. Darüber lässt sich Schadcode einschleusen und so unter Umständen ein gesamtes Netzwerk infiltrieren.

Anzeige

Der IT-Sicherheitsexperte Marcus Murray hat sich in die IT-Infrastruktur einer US-Bundesbehörde gehackt, bis hin zum Domainserver - mit Administratorrechten. Den Namen der Behörde wollte er nicht nennen. Murray nutzte dafür die Upload-Funktion eines Webservers und ein manipuliertes Profilfoto im Jpeg-Format. Sein Hack zeigt, dass Fotos oftmals nur unzureichend auf Schadcode untersucht werden und welche Konsequenzen das haben kann. Murray präsentiert seinen Angriff diese Woche auf der Sicherheitskonferenz RSA Security in San Francisco.

Murray untersuchte zunächst, ob er eine ausführbare Datei mit der Endung JPG auf den Windows-Webserver hochladen konnte. Dies verweigerte die Upload-Funktion erwartungsgemäß. Offenbar überprüft der Server den Header der manipulierten Datei, ob es sich tatsächlich um ein Jpeg-Format handelt, und ignorierte die Dateiendung. So weit reagierte der Server vorbildlich.

Wenn der Server aber die Dateiendung ignorierte, müsste es doch möglich sein, ein manipuliertes Jpeg-Bild hochzuladen, dachte sich Murray. Und tatsächlich konnte er sich so Zugriff auf den Webserver verschaffen. Dort fand er genügend Informationen, um sich weiter in die IT-Infrastruktur hineinzuhacken.

Schadcode im Foto ausführen

Sein Trick: Er platzierte Schadcode in das Kommentarfeld der Exif-Informationen in einer Jpeg-Datei. Dieser gab er wiederum die Endung aspx, wie sie bei Web Forms bei Microsofts Active Server Pages üblich sind. Der Webserver erkannte zwar das Jpeg als Bild, übersah aber die Dateiendung. Die Vorschaufunktion, die eigentlich das hochgeladene Bild anzeigen sollte, führte dann den Code in dem Kommentarfeld in Form einer Shell aus. Dort konnte Murray sich dann zunächst Informationen über den Server verschaffen, weiteren Code einschleusen und ausführen, durch den er Zugriff auf den Webserver über das Hackerwerkzeug Metasploit erlangte.

Der Webserver holte sich Daten von einem SQL-Server im gleichen Netz, dessen IP-Adresse und auch Zugangsdaten Murray in einem Backup des Codes auf dem Webserver entdeckte. Darüber erhielt er Zugang zunächst zu dem Server mit der Datenbank. Hier konnte er die IP-Adresse des DNS-Servers auslösen, der oftmals und auch in diesen Fall gleichzeitig der Domain-Controller ist. Mit Metasploit konnte sich Murray dann mit administrativen Rechten Zugriff auf den Domain-Controller verschaffen.


eye home zur Startseite
geeky 22. Apr 2015

Das stimmt schon - Allerdings kann der Webserver ja nicht hellsehen und einfach so...

M. 22. Apr 2015

Das Problem ist, dass viele die Validierung falsch angehen. Wichtig ist, unter welchen...

freebyte 22. Apr 2015

Gibts einen schönen Artikel in der F.A.Z. zum Thema: http://www.faz.net/aktuell...

b1n0ry 22. Apr 2015

r57.php.jpg lässt grüßen. Gute alte Zeiten :D

Argbeil 22. Apr 2015

Hat sich erledigt, habs verstanden, danke. Ist doch im Prinzip nur ein Upload-Validation...



Anzeige

Stellenmarkt
  1. Mediaform Unternehmensgruppe über ACADEMIC WORK, Hamburg, Reinbek
  2. Springer Nature, Berlin
  3. Deutsche Schillergesellschaft e.V. Deutsches Literaturarchiv Marbach, Marbach am Neckar
  4. Software AG, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Tesla-Zukauf

    Firmengründer Grohmann ging offenbar im Streit

  2. Zahlungssystem

    Apple Pay soll Überweisungen zwischen Freunden ermöglichen

  3. Google

    Alphabet macht weit über 5 Milliarden Dollar Gewinn

  4. Quartalsbericht

    Microsofts Zukunft ist erfolgreich in die Cloud verschoben

  5. Quartalsbericht

    Amazon macht erneut riesigen Gewinn

  6. Datenschutzverordnung im Bundestag

    "Für uns ist jeden Tag der Tag der inneren Sicherheit"

  7. Aspire-Serie

    Acer stellt Notebooks für jeden Geldbeutel vor

  8. Acer Predator Triton 700

    Das Fenster oberhalb der Tastatur ist ein Clickpad

  9. Kollaborationsserver

    Owncloud 10 verbessert Gruppen- und Gästenutzung

  10. Panoramafreiheit

    Aidas Kussmund darf im Internet veröffentlicht werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Akkutechnik: Was, wenn nicht Lithium?
Akkutechnik
Was, wenn nicht Lithium?
  1. Geländekauf in Nevada Google wird Nachbar von Teslas Gigafactory
  2. Lagerverkehr Amazon setzt auf Gabelstapler mit Brennstoffzellen
  3. Lithium-Akkus Durchbruch verzweifelt gesucht

  1. Re: Lohnniveau unterdurchschnittlich?

    LSBorg | 08:14

  2. Re: Schon lustig

    matok | 08:12

  3. Re: Die Analystenerwartungen um 1,16% übertroffen

    Bendix | 08:12

  4. Re: Was das bedeutet ist klar.

    Bendix | 08:10

  5. Quasi ein Melkschemel

    RvdtG | 08:09


  1. 07:52

  2. 07:19

  3. 00:11

  4. 23:21

  5. 22:37

  6. 20:24

  7. 18:00

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel