Menü
Ein Beitrag von Adacor

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

WordPress LogoDer polnische Sicherheitsexperte Dawid Golunski von der globalen Vereinigung „Legal Hackers“ hat bereits im Mai 2017 Informationen zu einer Zero-Day-Schwachstelle in der Content-Management-Software WordPress veröffentlicht.

Mithilfe dieser Lücke könne ein Angreifer Password-Reset-Mails „abfischen“ und so Zugriff auf das WordPress-Konto eines Users erlangen, so der Legal-Hackers-Aktivist. Seitens WordPress gibt es für die Lücke bisher keinen Fix.

Laut Golunski sind alle Standard-WordPress-Installationen bis zur Version 4.7.4 aktuell immer noch für die Lücke CVE-2017-8295 anfällig.

Der Sicherheitsexperte Dawid Golunski macht immer wieder von sich Reden, wenn er Schwachstellen im Zusammenhang mit PHP-basierten E-Mail-Plattformen aufdeckt. So entdeckte er unter anderem Fehler bei der Remote-Code-Ausführung in Mailsystemen wie SquirrelMail und SwiftMailer.
Er ist Mitglied von Legal Hackers einer globalen Bewegung von Anwälten, politischen Entscheidungsträgern, Webdesignern und Technologieexperten, erforscht die Probleme an der Schnittstelle von Recht und Technologie und entwickelt kreative Lösungen für mehr Sicherheit im Netz. Im Rahmen von lokalen Meetings, kollaborativen Formaten wie Hackathons und Workshops ermittelt Legal Hackers Möglichkeiten, welche Technologien die IT-Sicherheit verbessern können und wie Recht, Rechtspraxis und Politik sich an die schnell verändernde Technologie anpassen lassen.

In einem Proof of Concept beschreibt Golunski die Schwachstelle folgendermaßen: Wie bekannt, erstellt WordPress beim Zurücksetzen eines Passworts eine Mail mit dem Zurücksetzen-Link für den User, die dann vom Server versendet wird. Diese Mail sollte den Namen des Servers enthalten, damit sie bei Unzustellbarkeit zurückgesendet werden kann. WordPress verwendet dazu die Variable „SERVER_NAME“. Diese Variable kann aber aufgrund ihrer Struktur leicht angepasst werden. So ermöglicht sie es Angreifern, eine Domain ihrer Wahl als Absender einzufügen.

Doch in welchem Szenario sollte das gefährlich sein?

Gefährlich wird es, wenn nun der Benutzer des WordPress-Kontos auf eine solche veränderte Mail antwortet und dabei den Originalinhalt zitiert. Denn dann sendet er den Zurücksetzen-Link an die fehlerhafte Absenderadresse des Angreifers. Dieser erlangt dadurch den Passwort-Reset-Link und kann ein neues Passwort für den Benutzer erstellen.
Nun wird es nur wenige User geben, die auf eine „Passwort vergessen“-Mail antworten, wenn sie diese zuvor nicht selbst ausgelöst haben. Deswegen beschreibt Dawid Golunski verschiedene Szenarien, die es Angreifern ermöglichen, eine solche Mail zu erhalten:

  1. Im ersten Fall könnten die Angreifer einen Denial-of-Service-Angriff auf das E-Mail-Konto des Opfers starten. Damit ist es ihnen möglich zu verhindern, dass die E-Mail zum Zurücksetzen des Passworts das Konto des Opfers überhaupt erreicht. Stattdessen könnte ein Mailserver die Passwort-Mail von WordPress aus Überlastungsgründen ablehnen. Je nach Server-Konfiguration enthält die zurückgewiesene Mail (die wegen des manipulierten Absender-Headers an den Angreifer geht) auch die Original-Mail mit dem Passwortlink.
  2. Die Angreifer könnten darauf setzen, dass einige der attackierten Mailserver eine Auto-Reply-Funktion aktiviert haben, die zum Beispiel beim Senden einer Abwesenheitsnachricht die Original-Mail mitsendet.
  3. Schließlich könnten die Angreifer die Passwort-Mail extrem häufig auslösen und darauf hoffen, dass ein genervter Benutzer auf eine dieser Mails antwortet – mit dem Ziel, dass die Belästigung endlich abgestellt wird.

Zehn Merkmale Phishing zu erkennen

Nach Aussagen von Golunski hat er das Problem bereits mehrmals seit Juli 2016 beim Sicherheitsteam von WordPress gemeldet. Immer wieder ließ WordPress verlautbaren, dass man an dem Problem arbeite. Eine Lösung, so der Sicherheitsforscher, sei aber bis heute nicht geliefert worden. Die Sicherheitsabteilung von WordPress hingegen macht darauf aufmerksam, dass die beschriebenen Gefahren lediglich schlecht konfigurierte Server betreffen würden. Ein Update mit einem Patch der Sicherheitslücke sei geplant, ein genauer Zeitplan für das Update bestünde jedoch nicht.
WordPress stellt betroffenen Nutzern seit Juli 2017 ein öffentliches Bug-Ticket zur Verfügung.

Image

Optimale Cloud-Lösungen nach Ihren Vorstellungen

Ob bewährte VMware-Lösungen, leicht zu bedienende Cloudlösung oder zuverlässige vServer...
Bei Filoo finden Sie die richtige Cloud für Ihre Bedürfnisse.

Jetzt direkt informieren

Was ist zu tun?

Schaut man sich die Konstellationen an, scheint es tatsächlich relativ unwahrscheinlich, dass die Sicherheitslücke in WordPress aktiv ausgenutzt wird, auszuschließen ist dies jedoch nicht. Deshalb raten IT-Experten, alle Serverkonfigurationen zu aktualisieren. Auch Adacor geht diesen einfachen und effektiven Weg.

Abhilfe schafft zum Beispiel eine Einstellung, die den Server veranlasst, bei Ausgabe der Variable SERVER_NAME eine feste, selbstreferenzierende URL zu verwenden statt einer, die der Client (im beschriebenen Fall der Angreifer) ihm bei Ansprache genannt hat.

Diese Funktionsweise ist jedoch nicht bei allen Servern als Standard eingerichtet, weil sie nicht für jeden Verwendungsfall geeignet ist. Werden zum Beispiel mehrere virtuelle Server verwendet, ist es oft einfacher, lediglich eine IP-Adresse für den Host zu verwenden und die virtuellen Systeme darauf per Namen anzusprechen.Weitere Informationen dazu gibt es hier.

Deshalb hat unter anderem das Entwicklerteam von SecuPress ein Mini-Plugin veröffentlicht, das den Absender-Header in den WordPress-Mails mit einem eigenen Wert überschreibt und damit den Angriffsvektor schließt. Andere Anbieter wie zum Beispiel DenyAll SAS bieten Firewalls an, deren Reverse-Proxy keine unbekannten Hosts akzeptiert sowie diese blockiert und protokolliert. Auch die WebOps-Hosting-Plattform Plesk bietet ein Plug-in an.
Anwender, die befürchten, Opfer eines derartigen Phishing-Angriffs zu werden, sollten mit ihrem Hoster sprechen, um alle notwendigen Schutzvorkehrungen zu treffen.

Image

Herausforderung Cloud Migration begegnen

Welche Cloud-Lösungen gibt es auf dem Markt?
Wie gewährleisten Hoster Sicherheit & Compliance?
Welches Betriebsmodell eignet sich für mein Unternehmen?

Treffen Sie die Geschäftsführer der Adacor auf dem Deutschen IT-Leiter-Kongress!
Tickets hier gewinnen

, , , , , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Phishing kann jeden treffen

IT Security

MAC-Nutzer von Malware betroffen

Makroviren für Word und Excel erstmalig beim Mac. Nur bedingt Verlass auf Antivirus-Software.

weiter lesen

Serverdienste absichern

IT Security

Serverdienste absichern – Mißbrauchsgefahr!

Seit einigen Monaten scannt das Sicherheitsteam des Bundes (CERT-Bund) automatisch das gesamte "deutsche Internet" auf Sicherheitslücken.

weiter lesen

Zehn Merkmale Phishing zu erkennen

IT Security

Zehn Merkmale Phishing zu erkennen

Phishing-Merkmale: So erkennen Sie gefakte E-Mails und andere Angriffs-Varianten

weiter lesen


Neueste Nachrichten von Adacor

IT-News

Chronik eines gelungenen Job-Einstiegs bei Adacor

Erfahrungsbericht über den ausgefeilten Onboarding-Prozess bei der Adacor.

weiter lesen

IT-News

ITIL – 5 Schritte zum erfolgreichen Service-Management

Casestudy: Wie der IT Service Lifecycle mit Erfolg umgesetzt wird

weiter lesen

Biz & Trends

Mehr Jobs verfügbar – Einstellungsquote sinkt

Trotz steigender Anzahl an offenen Stellenangeboten in Deutschland sinkt die Einstellungsquote in den Unternehmen.

weiter lesen