Abo
  • Services:

Evil Jpegs: Foto-Upload schleust Schadcode ein

Fotos im Jpeg-Format werden beim Hochladen auf manche Webserver nur unzureichend geprüft. Darüber lässt sich Schadcode einschleusen und so unter Umständen ein gesamtes Netzwerk infiltrieren.

Artikel veröffentlicht am ,
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver.
Über Schadcode, den er in einem Jpeg-Foto platzierte, verschaffte sich der Hacker Marcus Murray Zugriff auf einen Webserver. (Bild: Marcus Murray)

Der IT-Sicherheitsexperte Marcus Murray hat sich in die IT-Infrastruktur einer US-Bundesbehörde gehackt, bis hin zum Domainserver - mit Administratorrechten. Den Namen der Behörde wollte er nicht nennen. Murray nutzte dafür die Upload-Funktion eines Webservers und ein manipuliertes Profilfoto im Jpeg-Format. Sein Hack zeigt, dass Fotos oftmals nur unzureichend auf Schadcode untersucht werden und welche Konsequenzen das haben kann. Murray präsentiert seinen Angriff diese Woche auf der Sicherheitskonferenz RSA Security in San Francisco.

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. MTU Friedrichshafen GmbH, Friedrichshafen

Murray untersuchte zunächst, ob er eine ausführbare Datei mit der Endung JPG auf den Windows-Webserver hochladen konnte. Dies verweigerte die Upload-Funktion erwartungsgemäß. Offenbar überprüft der Server den Header der manipulierten Datei, ob es sich tatsächlich um ein Jpeg-Format handelt, und ignorierte die Dateiendung. So weit reagierte der Server vorbildlich.

Wenn der Server aber die Dateiendung ignorierte, müsste es doch möglich sein, ein manipuliertes Jpeg-Bild hochzuladen, dachte sich Murray. Und tatsächlich konnte er sich so Zugriff auf den Webserver verschaffen. Dort fand er genügend Informationen, um sich weiter in die IT-Infrastruktur hineinzuhacken.

Schadcode im Foto ausführen

Sein Trick: Er platzierte Schadcode in das Kommentarfeld der Exif-Informationen in einer Jpeg-Datei. Dieser gab er wiederum die Endung aspx, wie sie bei Web Forms bei Microsofts Active Server Pages üblich sind. Der Webserver erkannte zwar das Jpeg als Bild, übersah aber die Dateiendung. Die Vorschaufunktion, die eigentlich das hochgeladene Bild anzeigen sollte, führte dann den Code in dem Kommentarfeld in Form einer Shell aus. Dort konnte Murray sich dann zunächst Informationen über den Server verschaffen, weiteren Code einschleusen und ausführen, durch den er Zugriff auf den Webserver über das Hackerwerkzeug Metasploit erlangte.

Der Webserver holte sich Daten von einem SQL-Server im gleichen Netz, dessen IP-Adresse und auch Zugangsdaten Murray in einem Backup des Codes auf dem Webserver entdeckte. Darüber erhielt er Zugang zunächst zu dem Server mit der Datenbank. Hier konnte er die IP-Adresse des DNS-Servers auslösen, der oftmals und auch in diesen Fall gleichzeitig der Domain-Controller ist. Mit Metasploit konnte sich Murray dann mit administrativen Rechten Zugriff auf den Domain-Controller verschaffen.



Anzeige
Spiele-Angebote
  1. 23,99€
  2. (-58%) 23,99€
  3. 12,99€

geeky 22. Apr 2015

Das stimmt schon - Allerdings kann der Webserver ja nicht hellsehen und einfach so...

M. 22. Apr 2015

Das Problem ist, dass viele die Validierung falsch angehen. Wichtig ist, unter welchen...

freebyte 22. Apr 2015

Gibts einen schönen Artikel in der F.A.Z. zum Thema: http://www.faz.net/aktuell...

b1n0ry 22. Apr 2015

r57.php.jpg lässt grüßen. Gute alte Zeiten :D

Argbeil 22. Apr 2015

Hat sich erledigt, habs verstanden, danke. Ist doch im Prinzip nur ein Upload-Validation...


Folgen Sie uns
       


Siri auf Deutsch auf dem Homepod

Wir haben uns die deutsche Version von Siri auf dem Homepod angehört. Bei den Funktionen hinkt Siri der Konkurrenz von Alexa und Google Assistant hinterher. Und auch an der Aussprache gibt es noch einiges zu feilen. Apples erster smarter Lautsprecher kostet 350 Euro.

Siri auf Deutsch auf dem Homepod Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

    •  /