Malware verbreitet sich über Buffer Overflows und Webseiten

So kommen Viren, Trojaner und Würmer ins Netzwerk

14.06.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Infektionen durch Drive-By-Angriffe

Besonders problematisch sind derartige Vulnerabilities, wenn sie einen Browser betreffen. Denn kaum ein Programm auf dem Computer ist mit soviel Input aus zweifelhaften Quellen konfrontiert wie der Browser. Während ein Administrator etwa automatisch alle E-Mails auf potenziell gefährliche Dateien prüfen kann, kann nicht jede besuchte Website einzeln überwacht werden.

Selbst wenn Unternehmen strenge Sperrlisten verwenden, können sie durchaus solchen Infektionen zum Opfer fallen: Bereits in mehreren Fällen erfolgte der Angriff über gehackte Server, die Werbebanner an eine Vielzahl verschiedener, oft sehr bekannter Nachrichten-Websites ausliefern. Das bedeutet also, dass sich Benutzer allein durch den Besuch einer solchen Nachrichten-Site (die sich normalerweise nicht auf einer Sperrliste findet) ein Virus einfangen konnten.

Der gehackte Werbebanner-Server lieferte ein Banner aus, das gezielt eine Browser-Schwachstelle angriff. Dieses Banner wurde auf der News-Site gezeigt, kam so als sichere Eingabe beim Browser an, und führte zur Infektion – sofern der Browser für diese Lücke anfällig war. Eine solche Infektion, die allein durch das Betrachten einer Webseite erfolgt und zwar so, dass das menschliche Opfer dies nicht einmal bemerkt, nennt man Drive-By-Infektion.

Fazit

Ob eine Applikation anfällig für einen Exploit ist, kann ein Administrator nicht im Voraus wissen. Andererseits ist praktisch keine große Anwendung dagegen gefeit – denn je größer ein Programm ist, desto wahrscheinlicher sind kleine Programmierfehler. Wichtig ist dann, dass der Hersteller möglichst rasch ein Update bereitstellt.

Solange ein wichtiges Produkt ungepatcht bleibt, droht jederzeit eine Infektion. Zwar lassen sich manchmal Alternativen finden. Für den Einsatz des Firefox-Browser spricht beispielsweise, dass seine Macher in in der Vergangenheit ihre Fehlerupdates schneller bereitstellten, als Microsoft für den Internet Explorer. In anderen Fällen lassen sich solche Probleme nur schwer umgehen: Monatelang war PowerPoint ungepatcht. In einem Großunternehmen dürfte es schwer durchsetzbar sein, dass kein Mitarbeiter mehr externe Präsentationen öffnen darf.

Das Fazit fällt also pessimistisch aus: Selbst in einem Unternehmen, in dem alle Updates sofort eingespielt werden und zudem robuste Virenscanner laufen, besteht die Gefahr einer Vireninfektion. Daher muss ein Administrator immer vom Schlimmsten ausgehen, um die Gefahren möglichst niedrig zu halten.

Je weniger Rechte die Benutzer erhalten, desto weniger Verbreitungs-Möglichkeiten haben eingedrungene Viren. Und je weniger Websites die Mitarbeiter besuchen dürfen, desto weniger potentielle Gefahren gibt es. Andererseits verringert dies die Benutzerzufriedenheit ungemein, was umgekehrt die Zahl der Support-Anrufe in Höhe schießen lässt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005451 / Sicherheitslücken)