Menü
Ein Beitrag von Adacor

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

WordPress LogoDer polnische Sicherheitsexperte Dawid Golunski von der globalen Vereinigung „Legal Hackers“ hat bereits im Mai 2017 Informationen zu einer Zero-Day-Schwachstelle in der Content-Management-Software WordPress veröffentlicht.

Mithilfe dieser Lücke könne ein Angreifer Password-Reset-Mails „abfischen“ und so Zugriff auf das WordPress-Konto eines Users erlangen, so der Legal-Hackers-Aktivist. Seitens WordPress gibt es für die Lücke bisher keinen Fix.

Laut Golunski sind alle Standard-WordPress-Installationen bis zur Version 4.7.4 aktuell immer noch für die Lücke CVE-2017-8295 anfällig.

Der Sicherheitsexperte Dawid Golunski macht immer wieder von sich Reden, wenn er Schwachstellen im Zusammenhang mit PHP-basierten E-Mail-Plattformen aufdeckt. So entdeckte er unter anderem Fehler bei der Remote-Code-Ausführung in Mailsystemen wie SquirrelMail und SwiftMailer.
Er ist Mitglied von Legal Hackers einer globalen Bewegung von Anwälten, politischen Entscheidungsträgern, Webdesignern und Technologieexperten, erforscht die Probleme an der Schnittstelle von Recht und Technologie und entwickelt kreative Lösungen für mehr Sicherheit im Netz. Im Rahmen von lokalen Meetings, kollaborativen Formaten wie Hackathons und Workshops ermittelt Legal Hackers Möglichkeiten, welche Technologien die IT-Sicherheit verbessern können und wie Recht, Rechtspraxis und Politik sich an die schnell verändernde Technologie anpassen lassen.

In einem Proof of Concept beschreibt Golunski die Schwachstelle folgendermaßen: Wie bekannt, erstellt WordPress beim Zurücksetzen eines Passworts eine Mail mit dem Zurücksetzen-Link für den User, die dann vom Server versendet wird. Diese Mail sollte den Namen des Servers enthalten, damit sie bei Unzustellbarkeit zurückgesendet werden kann. WordPress verwendet dazu die Variable „SERVER_NAME“. Diese Variable kann aber aufgrund ihrer Struktur leicht angepasst werden. So ermöglicht sie es Angreifern, eine Domain ihrer Wahl als Absender einzufügen.

Doch in welchem Szenario sollte das gefährlich sein?

Gefährlich wird es, wenn nun der Benutzer des WordPress-Kontos auf eine solche veränderte Mail antwortet und dabei den Originalinhalt zitiert. Denn dann sendet er den Zurücksetzen-Link an die fehlerhafte Absenderadresse des Angreifers. Dieser erlangt dadurch den Passwort-Reset-Link und kann ein neues Passwort für den Benutzer erstellen.
Nun wird es nur wenige User geben, die auf eine „Passwort vergessen“-Mail antworten, wenn sie diese zuvor nicht selbst ausgelöst haben. Deswegen beschreibt Dawid Golunski verschiedene Szenarien, die es Angreifern ermöglichen, eine solche Mail zu erhalten:

  1. Im ersten Fall könnten die Angreifer einen Denial-of-Service-Angriff auf das E-Mail-Konto des Opfers starten. Damit ist es ihnen möglich zu verhindern, dass die E-Mail zum Zurücksetzen des Passworts das Konto des Opfers überhaupt erreicht. Stattdessen könnte ein Mailserver die Passwort-Mail von WordPress aus Überlastungsgründen ablehnen. Je nach Server-Konfiguration enthält die zurückgewiesene Mail (die wegen des manipulierten Absender-Headers an den Angreifer geht) auch die Original-Mail mit dem Passwortlink.
  2. Die Angreifer könnten darauf setzen, dass einige der attackierten Mailserver eine Auto-Reply-Funktion aktiviert haben, die zum Beispiel beim Senden einer Abwesenheitsnachricht die Original-Mail mitsendet.
  3. Schließlich könnten die Angreifer die Passwort-Mail extrem häufig auslösen und darauf hoffen, dass ein genervter Benutzer auf eine dieser Mails antwortet – mit dem Ziel, dass die Belästigung endlich abgestellt wird.

Zehn Merkmale Phishing zu erkennen

Nach Aussagen von Golunski hat er das Problem bereits mehrmals seit Juli 2016 beim Sicherheitsteam von WordPress gemeldet. Immer wieder ließ WordPress verlautbaren, dass man an dem Problem arbeite. Eine Lösung, so der Sicherheitsforscher, sei aber bis heute nicht geliefert worden. Die Sicherheitsabteilung von WordPress hingegen macht darauf aufmerksam, dass die beschriebenen Gefahren lediglich schlecht konfigurierte Server betreffen würden. Ein Update mit einem Patch der Sicherheitslücke sei geplant, ein genauer Zeitplan für das Update bestünde jedoch nicht.
WordPress stellt betroffenen Nutzern seit Juli 2017 ein öffentliches Bug-Ticket zur Verfügung.

Image

Sie wollen eine sichere Cloud?

Dann haben Sie diese mit CloudEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können.
Es gibt keine lange Einarbeitungszeit – diese Cloud funktioniert einfach.
Jetzt direkt informieren

Was ist zu tun?

Schaut man sich die Konstellationen an, scheint es tatsächlich relativ unwahrscheinlich, dass die Sicherheitslücke in WordPress aktiv ausgenutzt wird, auszuschließen ist dies jedoch nicht. Deshalb raten IT-Experten, alle Serverkonfigurationen zu aktualisieren. Auch Adacor geht diesen einfachen und effektiven Weg.

Abhilfe schafft zum Beispiel eine Einstellung, die den Server veranlasst, bei Ausgabe der Variable SERVER_NAME eine feste, selbstreferenzierende URL zu verwenden statt einer, die der Client (im beschriebenen Fall der Angreifer) ihm bei Ansprache genannt hat.

Diese Funktionsweise ist jedoch nicht bei allen Servern als Standard eingerichtet, weil sie nicht für jeden Verwendungsfall geeignet ist. Werden zum Beispiel mehrere virtuelle Server verwendet, ist es oft einfacher, lediglich eine IP-Adresse für den Host zu verwenden und die virtuellen Systeme darauf per Namen anzusprechen.Weitere Informationen dazu gibt es hier.

Deshalb hat unter anderem das Entwicklerteam von SecuPress ein Mini-Plugin veröffentlicht, das den Absender-Header in den WordPress-Mails mit einem eigenen Wert überschreibt und damit den Angriffsvektor schließt. Andere Anbieter wie zum Beispiel DenyAll SAS bieten Firewalls an, deren Reverse-Proxy keine unbekannten Hosts akzeptiert sowie diese blockiert und protokolliert. Auch die WebOps-Hosting-Plattform Plesk bietet ein Plug-in an.
Anwender, die befürchten, Opfer eines derartigen Phishing-Angriffs zu werden, sollten mit ihrem Hoster sprechen, um alle notwendigen Schutzvorkehrungen zu treffen.

Image

Eintauchen in die Cloud-Ökonomie?

Unternehmen, die mit Cloud-Technologie ihre IT-Organisation und -Prozesse effektiv unterstützen wollen, stehen vor der Frage:
Wie viel Cloud ist dazu nötig?

Unser IT-Magazin Behind The Scene unterstützt dabei mit einem vielschichtigen Realitätscheck.
Jetzt kostenlos downloaden

, , , , , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

IT Security

Handy weg – und jetzt?

Hilfreiche Tipps nach Verlust von Smartphone und Co. Der entstandene Schaden lässt sich eindämmen, wenn man ein paar wichtige Schritte befolgt.

weiter lesen

Nur ein Viertel verwenden Passwort-Manager

Biz & Trends, IT Security

Nur ein Viertel verwenden Passwort-Manager

Passwort-Safes sind eine bequeme und sichere Lösung für die verschlüsselte Verwaltung von Kennwörtern für Webanwendungen.

weiter lesen

Beim Monitoring der Infrastruktur setzt ADACOR auf Nagios und Bacula

Hosting, IT Security

Beim Monitoring der Infrastruktur setzt ADACOR auf Nagios und Bacula

24/7 Monitoring der Infrastruktur und sicheres Backup sorgen für eine hohe Verfügbarkeit der Server-Infrastruktur.

weiter lesen


Neueste Nachrichten von Adacor

Cloud

Was macht Cloud-Dienste sexy?

Die reflexartige Antwort ist häufig mit dem Thema “Kostenersparnis“ verbunden. Doch dies sollte nicht einziges Ziel sein.

weiter lesen

IT-Compliance

IT Security

IT-Compliance mit System

Wie sich Gesetze und Regeln in der IT einhalten lassen. Ein Drei-Punkte-Programm zur Einhaltung von IT-Compliance.

weiter lesen

IT Security

StartCom: Eigentümer zieht den Stecker

Das Geschäft mit Zertifikaten neigt sich dem Ende zu.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.