Menü
Ein Beitrag von Adacor

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

WordPress LogoDer polnische Sicherheitsexperte Dawid Golunski von der globalen Vereinigung „Legal Hackers“ hat bereits im Mai 2017 Informationen zu einer Zero-Day-Schwachstelle in der Content-Management-Software WordPress veröffentlicht.

Mithilfe dieser Lücke könne ein Angreifer Password-Reset-Mails „abfischen“ und so Zugriff auf das WordPress-Konto eines Users erlangen, so der Legal-Hackers-Aktivist. Seitens WordPress gibt es für die Lücke bisher keinen Fix.

Laut Golunski sind alle Standard-WordPress-Installationen bis zur Version 4.7.4 aktuell immer noch für die Lücke CVE-2017-8295 anfällig.

Der Sicherheitsexperte Dawid Golunski macht immer wieder von sich Reden, wenn er Schwachstellen im Zusammenhang mit PHP-basierten E-Mail-Plattformen aufdeckt. So entdeckte er unter anderem Fehler bei der Remote-Code-Ausführung in Mailsystemen wie SquirrelMail und SwiftMailer.
Er ist Mitglied von Legal Hackers einer globalen Bewegung von Anwälten, politischen Entscheidungsträgern, Webdesignern und Technologieexperten, erforscht die Probleme an der Schnittstelle von Recht und Technologie und entwickelt kreative Lösungen für mehr Sicherheit im Netz. Im Rahmen von lokalen Meetings, kollaborativen Formaten wie Hackathons und Workshops ermittelt Legal Hackers Möglichkeiten, welche Technologien die IT-Sicherheit verbessern können und wie Recht, Rechtspraxis und Politik sich an die schnell verändernde Technologie anpassen lassen.

In einem Proof of Concept beschreibt Golunski die Schwachstelle folgendermaßen: Wie bekannt, erstellt WordPress beim Zurücksetzen eines Passworts eine Mail mit dem Zurücksetzen-Link für den User, die dann vom Server versendet wird. Diese Mail sollte den Namen des Servers enthalten, damit sie bei Unzustellbarkeit zurückgesendet werden kann. WordPress verwendet dazu die Variable „SERVER_NAME“. Diese Variable kann aber aufgrund ihrer Struktur leicht angepasst werden. So ermöglicht sie es Angreifern, eine Domain ihrer Wahl als Absender einzufügen.

Doch in welchem Szenario sollte das gefährlich sein?

Gefährlich wird es, wenn nun der Benutzer des WordPress-Kontos auf eine solche veränderte Mail antwortet und dabei den Originalinhalt zitiert. Denn dann sendet er den Zurücksetzen-Link an die fehlerhafte Absenderadresse des Angreifers. Dieser erlangt dadurch den Passwort-Reset-Link und kann ein neues Passwort für den Benutzer erstellen.
Nun wird es nur wenige User geben, die auf eine „Passwort vergessen“-Mail antworten, wenn sie diese zuvor nicht selbst ausgelöst haben. Deswegen beschreibt Dawid Golunski verschiedene Szenarien, die es Angreifern ermöglichen, eine solche Mail zu erhalten:

  1. Im ersten Fall könnten die Angreifer einen Denial-of-Service-Angriff auf das E-Mail-Konto des Opfers starten. Damit ist es ihnen möglich zu verhindern, dass die E-Mail zum Zurücksetzen des Passworts das Konto des Opfers überhaupt erreicht. Stattdessen könnte ein Mailserver die Passwort-Mail von WordPress aus Überlastungsgründen ablehnen. Je nach Server-Konfiguration enthält die zurückgewiesene Mail (die wegen des manipulierten Absender-Headers an den Angreifer geht) auch die Original-Mail mit dem Passwortlink.
  2. Die Angreifer könnten darauf setzen, dass einige der attackierten Mailserver eine Auto-Reply-Funktion aktiviert haben, die zum Beispiel beim Senden einer Abwesenheitsnachricht die Original-Mail mitsendet.
  3. Schließlich könnten die Angreifer die Passwort-Mail extrem häufig auslösen und darauf hoffen, dass ein genervter Benutzer auf eine dieser Mails antwortet – mit dem Ziel, dass die Belästigung endlich abgestellt wird.

Zehn Merkmale Phishing zu erkennen

Nach Aussagen von Golunski hat er das Problem bereits mehrmals seit Juli 2016 beim Sicherheitsteam von WordPress gemeldet. Immer wieder ließ WordPress verlautbaren, dass man an dem Problem arbeite. Eine Lösung, so der Sicherheitsforscher, sei aber bis heute nicht geliefert worden. Die Sicherheitsabteilung von WordPress hingegen macht darauf aufmerksam, dass die beschriebenen Gefahren lediglich schlecht konfigurierte Server betreffen würden. Ein Update mit einem Patch der Sicherheitslücke sei geplant, ein genauer Zeitplan für das Update bestünde jedoch nicht.
WordPress stellt betroffenen Nutzern seit Juli 2017 ein öffentliches Bug-Ticket zur Verfügung.

Image

Optimale Cloud-Lösungen nach Ihren Vorstellungen

Ob bewährte VMware-Lösungen, leicht zu bedienende Cloudlösung oder zuverlässige vServer...
Bei Filoo finden Sie die richtige Cloud für Ihre Bedürfnisse.

Jetzt direkt informieren

Was ist zu tun?

Schaut man sich die Konstellationen an, scheint es tatsächlich relativ unwahrscheinlich, dass die Sicherheitslücke in WordPress aktiv ausgenutzt wird, auszuschließen ist dies jedoch nicht. Deshalb raten IT-Experten, alle Serverkonfigurationen zu aktualisieren. Auch Adacor geht diesen einfachen und effektiven Weg.

Abhilfe schafft zum Beispiel eine Einstellung, die den Server veranlasst, bei Ausgabe der Variable SERVER_NAME eine feste, selbstreferenzierende URL zu verwenden statt einer, die der Client (im beschriebenen Fall der Angreifer) ihm bei Ansprache genannt hat.

Diese Funktionsweise ist jedoch nicht bei allen Servern als Standard eingerichtet, weil sie nicht für jeden Verwendungsfall geeignet ist. Werden zum Beispiel mehrere virtuelle Server verwendet, ist es oft einfacher, lediglich eine IP-Adresse für den Host zu verwenden und die virtuellen Systeme darauf per Namen anzusprechen.Weitere Informationen dazu gibt es hier.

Deshalb hat unter anderem das Entwicklerteam von SecuPress ein Mini-Plugin veröffentlicht, das den Absender-Header in den WordPress-Mails mit einem eigenen Wert überschreibt und damit den Angriffsvektor schließt. Andere Anbieter wie zum Beispiel DenyAll SAS bieten Firewalls an, deren Reverse-Proxy keine unbekannten Hosts akzeptiert sowie diese blockiert und protokolliert. Auch die WebOps-Hosting-Plattform Plesk bietet ein Plug-in an.
Anwender, die befürchten, Opfer eines derartigen Phishing-Angriffs zu werden, sollten mit ihrem Hoster sprechen, um alle notwendigen Schutzvorkehrungen zu treffen.

Image

Eine Erfolgsstory: Wie Cloud Computing Unternehmen zu Siegern macht

Alles neu macht der Mai!
IT Quarterly kurz ITQ heißt das neue IT-Fachmagazin rund um die Themen Hosting, Digitalisierung und Management.

Die Erstausgabe der ITQ jetzt kostenlos downloaden

, , , , , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Biz & Trends, IT Security

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Wie sich USB-Sticks verschlüsseln lassen und wieso dies immens wichtig ist.

weiter lesen

Verkehrs chaos durch DoS-Angriffe

IT Security

Verkehrschaos durch DoS-Angriffe muss nicht sein

Mit Blackholing Chaos bei DoS-Angriffen verhinden.

weiter lesen

Datensicherheit und der Faktor Mensch – Sicherheitsbewußtsein im Unternehmen

IT Security

Datensicherheit und der Faktor Mensch – Sicherheitsbewußtsein im Unternehmen

Interne Audits sind der einflussreichste Komponente bei der Sensibilisierung der Mitarbeiter für IT-Sicherheitsthemen.

weiter lesen


Neueste Nachrichten von Adacor

IT Security

EU-DSGVO: Was sich ab sofort im Datenschutz ändert

Ab dem 25. Mai tritt die neue EU-DSGVO inkraft: So wappnen Sie Ihr Unternehmen vor den den Auswirkungen der EU-Datenschutz-Grundverordnung

weiter lesen

Biz & Trends

Neue Bildungsperspektiven: Die gOFfit in Offenbach

Die Bildungsmesse gOFfit informiert über Ausbildung, Weiterbildung und das duale Studium. Am Stand von Adacor erhalten Interessierte Informationen aus erster Hand und erfahren wie...

weiter lesen

Cloud

Wie Sie die Public-Cloud im Unternehmen optimieren

Geht es um die Planung und den Betrieb von Public-Cloud-Infrastrukturen ist Expertise gefragt, damit Public-Cloud-Dienste wie AWS oder Azure Ihr Unternehmen nicht ausbremsen.

weiter lesen