Anzeige

Cyberkriminelle nutzen offenbar liebend gern das Website-Verzeichnis “/.well-known/”, um ihre Malware darin zu verstecken. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf entsprechende Erkenntnisse des IT-Sicherheitsunternehmen Zscaler.

Als Präfix von sogenannten “well-known URIs” verweisen solche Verzeichnisse in der Regel auf Informationen über den Host. Sie lassen sich via Web abfragen. Wird ein SSL-Zertifikat über Automatic Certificate Management Environment, kurz ACME, bestellt, werden die Unterverzeichnisse “/.well-known/acme-challenge/” oder auch “./well-known/pki-validation” genutzt.

„Um beweisen zu können, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Prüfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen“, erläutert Christian Heutger, CTO der PSW GROUP, die technischen Hintergründe und ergänzt: „Weil Admins ansonsten aber so selten in dieses Verzeichnis hineinschauen, eignet sich “./well-known/” einschließlich aller Unterverzeichnisse gleichzeitig gut als Versteck für Malware.“ Hinzu kommt, dass das Verzeichnis gut verborgen ist und somit nicht angezeigt wird.

Wie ZScaler in seinem Unternehmensblog erklärt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie können Ransomware oder Malware beinhalten oder aber auf verschiedene Phishing-Sites umleiten. „Stieß das Unternhmen auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America“, ergänzt Heutger. Der IT-Sicherheitsexperte warnt: „Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor für Cyberkriminelle. Auch veraltete Joomla- und WordPress-Versionen sind gefährdet – insbesondere bei Verwendung von SSL-Zertifikaten mit ACME.“

So haben beispielsweise die Forscher entdeckt, dass kompromittierte WordPress-Seiten insbesondere die Versionen 4.8.9 bis 5.1.1 verwenden.

Wenngleich Admins ihre Website auch regelmäßig prüfen: Das Verzeichnis “/.well-known/” gerät dabei häufig in Vergessenheit. „Normalerweise nutzen Admins den Kommandozeilenbefehl ls, um sich Dateien auflisten zu lassen. Dabei wird – ironischerweise aus Sicherheitsgründen – das well-known-Verzeichnis nicht dargestellt. Kein Wunder also, dass ein Website Hack oft unbemerkt bleibt“, so Christian Heutger. Dabei ist gar nicht so schwer, die Site zu schützen: Website-Betreiber, die SSL-Zertifikate mit ACME verwenden, können das Verzeichnis “/.well-known/” einschließlich aller Unterverzeichnisse einfach in ihre Sicherheitsüberprüfungen einbeziehen. „Dabei sollten sie unbedingt einen Blick in “/.well-known/acme-challenge/” sowie in “/.well-known/pki-validation/” werfen. Darin sollten sich ausschließlich die Zertifikatsdateien befinden“, rät der Experte.

www.psw-group.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…
Hacked

Cyber Crime: Im Notfall einen kühlen Kopf bewahren

Canon, Xerox, Carnival Cruises: Immer wieder werden namhafte Unternehmen verschiedener Branchen Opfer von Cyberkriminalität. Doch es trifft längst nicht mehr nur die „Großen“. Im Gegenteil: Die Hacker haben Unternehmen vom kleinen Mittelständler bis zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!