Anzeige

Anzeige

Cyberkriminelle nutzen offenbar liebend gern das Website-Verzeichnis “/.well-known/”, um ihre Malware darin zu verstecken. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf entsprechende Erkenntnisse des IT-Sicherheitsunternehmen Zscaler.

Als Präfix von sogenannten “well-known URIs” verweisen solche Verzeichnisse in der Regel auf Informationen über den Host. Sie lassen sich via Web abfragen. Wird ein SSL-Zertifikat über Automatic Certificate Management Environment, kurz ACME, bestellt, werden die Unterverzeichnisse “/.well-known/acme-challenge/” oder auch “./well-known/pki-validation” genutzt.

„Um beweisen zu können, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Prüfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen“, erläutert Christian Heutger, CTO der PSW GROUP, die technischen Hintergründe und ergänzt: „Weil Admins ansonsten aber so selten in dieses Verzeichnis hineinschauen, eignet sich “./well-known/” einschließlich aller Unterverzeichnisse gleichzeitig gut als Versteck für Malware.“ Hinzu kommt, dass das Verzeichnis gut verborgen ist und somit nicht angezeigt wird.

Wie ZScaler in seinem Unternehmensblog erklärt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie können Ransomware oder Malware beinhalten oder aber auf verschiedene Phishing-Sites umleiten. „Stieß das Unternhmen auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America“, ergänzt Heutger. Der IT-Sicherheitsexperte warnt: „Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor für Cyberkriminelle. Auch veraltete Joomla- und WordPress-Versionen sind gefährdet – insbesondere bei Verwendung von SSL-Zertifikaten mit ACME.“

So haben beispielsweise die Forscher entdeckt, dass kompromittierte WordPress-Seiten insbesondere die Versionen 4.8.9 bis 5.1.1 verwenden.

Wenngleich Admins ihre Website auch regelmäßig prüfen: Das Verzeichnis “/.well-known/” gerät dabei häufig in Vergessenheit. „Normalerweise nutzen Admins den Kommandozeilenbefehl ls, um sich Dateien auflisten zu lassen. Dabei wird – ironischerweise aus Sicherheitsgründen – das well-known-Verzeichnis nicht dargestellt. Kein Wunder also, dass ein Website Hack oft unbemerkt bleibt“, so Christian Heutger. Dabei ist gar nicht so schwer, die Site zu schützen: Website-Betreiber, die SSL-Zertifikate mit ACME verwenden, können das Verzeichnis “/.well-known/” einschließlich aller Unterverzeichnisse einfach in ihre Sicherheitsüberprüfungen einbeziehen. „Dabei sollten sie unbedingt einen Blick in “/.well-known/acme-challenge/” sowie in “/.well-known/pki-validation/” werfen. Darin sollten sich ausschließlich die Zertifikatsdateien befinden“, rät der Experte.

www.psw-group.de


Weitere Artikel

Cybercrime

Cyberkriminalität: Zwei von Drei Unternehmen in DACH bereits Opfer

Die Cyber-Bedrohungslandschaft im DACH-Raum entwickelt sich rasant weiter. Dabei versuchen Cyberkriminelle zunehmend menschliche Schwächen statt direkte Schwachstellen in IT-Infrastrukturen auszunutzen.
RIP

Best of Hacks: Highlights April 2021

Im April kommen wieder etliche Privatpersonen zu Schaden, deren persönliche Daten bei Hackerangriffen zum Bespiel bei der Social-Network-App Clubhouse oder des Geschäfts- und Jobkontaktenetzwerks Linkedin gestohlen wurden.
Hackerangriff

Hacker nutzen Schwachstellen von Pulse Connect Secure aus

Associated Press veröffentlichte die Nachricht, dass Hacker die Schwachstellen von Pulse Connect Secure ausgenutzt haben, um Verizon und die größte Wasserbehörde der USA sowie die New Yorker U-Bahn anzugreifen.
Phishing

Fax- und Scan-Phishing-Attacken nehmen zu

Dank der weltweiten Impferfolge und der sich langsam abschwächenden Fallzahlen kehren immer mehr Mitarbeiter in die ehemals gewohnte Büroumgebung zurück.
Hacker

Neue Welle von Ransom DDoS-Attacken durch Fancy Lazarus

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken.
Cyber Attacke

Immer wieder Ransomware: Cyberattacken auf kritische Sektoren nehmen zu

Im Jahr 2021 sehen wir weiterhin eine steigende Anzahl von Cyberangriffen auf Unternehmen, Organisationen und Behörden, die quasi wöchentlich in den Schlagzeilen der Medien landen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.