Anzeige

Anzeige

VERANSTALTUNGEN

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

ACMP Competence Days Stuttgart
18.09.19 - 18.09.19
In simINN Flugsimulator, Stuttgart

SD-WAN im Alltag – sichere Vernetzung mit Peplink
18.09.19 - 18.09.19
In München

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

Anzeige

Anzeige

Malware Danger Sign Design Shutterstock 700

Cyberkriminelle nutzen offenbar liebend gern das Website-Verzeichnis “/.well-known/”, um ihre Malware darin zu verstecken. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf entsprechende Erkenntnisse des IT-Sicherheitsunternehmen Zscaler.

Als Präfix von sogenannten “well-known URIs” verweisen solche Verzeichnisse in der Regel auf Informationen über den Host. Sie lassen sich via Web abfragen. Wird ein SSL-Zertifikat über Automatic Certificate Management Environment, kurz ACME, bestellt, werden die Unterverzeichnisse “/.well-known/acme-challenge/” oder auch “./well-known/pki-validation” genutzt.

„Um beweisen zu können, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Prüfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen“, erläutert Christian Heutger, CTO der PSW GROUP, die technischen Hintergründe und ergänzt: „Weil Admins ansonsten aber so selten in dieses Verzeichnis hineinschauen, eignet sich “./well-known/” einschließlich aller Unterverzeichnisse gleichzeitig gut als Versteck für Malware.“ Hinzu kommt, dass das Verzeichnis gut verborgen ist und somit nicht angezeigt wird.

Wie ZScaler in seinem Unternehmensblog erklärt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie können Ransomware oder Malware beinhalten oder aber auf verschiedene Phishing-Sites umleiten. „Stieß das Unternhmen auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America“, ergänzt Heutger. Der IT-Sicherheitsexperte warnt: „Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor für Cyberkriminelle. Auch veraltete Joomla- und WordPress-Versionen sind gefährdet – insbesondere bei Verwendung von SSL-Zertifikaten mit ACME.“

So haben beispielsweise die Forscher entdeckt, dass kompromittierte WordPress-Seiten insbesondere die Versionen 4.8.9 bis 5.1.1 verwenden.

Wenngleich Admins ihre Website auch regelmäßig prüfen: Das Verzeichnis “/.well-known/” gerät dabei häufig in Vergessenheit. „Normalerweise nutzen Admins den Kommandozeilenbefehl ls, um sich Dateien auflisten zu lassen. Dabei wird – ironischerweise aus Sicherheitsgründen – das well-known-Verzeichnis nicht dargestellt. Kein Wunder also, dass ein Website Hack oft unbemerkt bleibt“, so Christian Heutger. Dabei ist gar nicht so schwer, die Site zu schützen: Website-Betreiber, die SSL-Zertifikate mit ACME verwenden, können das Verzeichnis “/.well-known/” einschließlich aller Unterverzeichnisse einfach in ihre Sicherheitsüberprüfungen einbeziehen. „Dabei sollten sie unbedingt einen Blick in “/.well-known/acme-challenge/” sowie in “/.well-known/pki-validation/” werfen. Darin sollten sich ausschließlich die Zertifikatsdateien befinden“, rät der Experte.

www.psw-group.de

GRID LIST
Passwörter

Sichere Passwörter – so geht’s

E-Mail-Postfächer, Soziale Netzwerke oder Online-Shops - für jedes Konto benötigen wir…
QR Code

Braucht die beliebte Pixel-Matrix ein neues Sicherheitskonzept?

QR-Codes gibt es seit 1994, doch ihr Entwickler ist besorgt und der Meinung, dass sie ein…
Maus

Die 6 überraschendsten Einstiegspunkte für Cyberattacken

Ob zuhause oder am Arbeitsplatz, Hacker werden immer raffinierter beim Eindringen in…
Marc Wilczek

DDoS-Rache für kritische Berichterstattung über Goldhändler

Zahlreiche Finanzmedien wurden in den vergangenen Wochen immer wieder mit DDoS-Angriffen…
Smart Home Hacker

Smart Home im Visier von Cyberkriminellen

Ob Smart-TV, Haussteuerung, Router oder Smartphone - Cyberkriminelle haben verstärkt…
Ransomware

Massiver Ransomware-Angriff in Texas trifft 22 Städte

Die IT von Behörden ländlicher Regionen ist oftmals unzureichend ausgestattet, häufig…