Angriffe auf Router:
Erste Drive-by-Pharming-Angriffe beobachtet

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
28.01.2008

In Mexiko wurden die ersten »Drive-by-Pharming«-Angriffe auf Router beobachtet. Dabei werden Internet-Besucher auf manipulierte Web-Seiten umgelenkt, ohne dass sie davon etwas mitbekommen.

Die Angriffe zielen in erster Linie auf Router, die in Heimbüros oder kleinen Firmen eingesetzt werden. »Alleine durch das Ansehen einer Web-Seite mit eingebettetem Schadcode kann ein Home-Router so manipuliert werden, dass er bei Eingabe einer bestimmten URL den User auf eine gefälschte Seite umleitet«, erläutert Candid Wüest, Sicherheitsexperte bei Symantec [1].

Mittels solcher Seiten werden laut Wüest persönliche Daten des Users gestohlen, etwa Log-in-Daten und Passwörter. Das ist vor allem dann kritisch, wenn der Benutzer Online-Banking durchführt oder an Ebay-Versteigerungen teilnimmt.

Router mit aktiviertem UPnP sind gefährdet

Allerdings gibt es nach Angaben des Sicherheitsexperten eine noch gefährlichere Variante: Die Router-Einstellungen lassen sich von außen mithilfe von Adobe-Flash-Dateien verändern.

Auch in diesem Fall genügt es, eine Web-Seite mit einer manipulierten Flash-Datei zu besuchen. Der Angriff nutzt eine Schwachstelle des Universal-Plug-and-Play-Standards (UPnP). Wir berichteten bereits detailliert darüber (siehe Beitrag [2]).

Angriffe mittels Flash-Dateien wurden noch nicht registriert. Es dürfte aber nur eine Frage der Zeit sein, bis Hacker das Schlupfloch UPnP für ihre Zwecke nutzen.

Fünf Tipps gegen Drive-by-Pharming

Symantec rät Internet-Nutzern, folgende Vorsichtsmaßnahmen gegen Drive-by-Pharming-Angriffe zu treffen:

1. Das voreingestellte Passwort des Routers ändern: Häufig verwenden Hersteller Begriffe, die leicht zu erschließen sind, etwa »Admin« als Anwendername und den eigenen Firmennamen als Passwort.

2. Vor dem Ändern des Passworts des Routers ein Reset durchführen. Dadurch lässt sich das System auch dann sauber starten, wenn es bereits von einem Angreifer manipuliert wurde.

3. Vorsicht beim Besuch von Web-Seiten walten lassen, vor allem dann, wenn jemand Links per E-Mail übermittelt hat. Das gilt auch für E-Mail-Absender, die Sie kennen. Denn deren Rechner könnte gehackt worden sein und wird nun für das Übermitteln von Links missbraucht.

4. Eine Sicherheitssoftware einsetzen, die einen Schutz vor Viren, Spyware und Phishing-Angriffen bietet. Außerdem sollte eine Personal Firewall installiert werden.

5. Die UPnP-Funktion des Routers deaktivieren, wenn diese nicht unbedingt benötigt wird.

[1] http://www.symantec.de
[2] nwc/sicherheit/artikel/archive/211/browse/1/article/upnp-sicherheitsloch-kompromittiert-router/