Kritische Sicherheitslücke in Apache-Webserver entdeckt

Die australische IT-Sicherheitsfirma Sense of Security hat nach eigenen Angaben einen schweren Fehler im Apache-Webserver entdeckt. Angreifer können die Sicherheitslücke angeblich ausnutzen, um die vollständige Kontrolle über ein Server-System zu übernehmen.

Brett Gervasoni von Sense of Security hat den Fehler laut einer Sicherheitsmitteilung im Apache-Modul „mod_isapi“ der Versionen 2.2.14 und früher ausgemacht. Ein Update auf Version 2.2.15 soll das Problem beheben.

„Wir haben einen Proof-of-Concept-Exploit geschrieben. Es ist durchaus möglich, dass andere einen ähnlichen Exploit konstruieren, mit dem man ein Windows-System komplett kompromittieren kann“, so Gervasoni.

Sense-of-Security-Sprecher Jason Edelstein zufolge handelt es sich bei der Sicherheitslücke um einen der schlimmsten Apache-Bugs in den vergangenen Jahren. „Die Schwachstelle ermöglicht es, über ein Netzwerk die komplette Kontrolle eines Servers mit Systemberechtigung zu übernehmen – das ist die höchste Berechtigungsstufe in Windows.“

Apache-Anwendern hätten keine Chance, herauszufinden, ob ihr System bereits kompromittiert worden sei, so Edelstein. „Früher war es leichter zu erkennen. Angreifer haben die betroffenen Sites verunstaltet. Jetzt ist es wahrscheinlicher, dass sie ihr Eindringen verschleiern, um den Zugang zum Server zu behalten.“

Angreifer könnten laut Edelstein die Sicherheitslücke ausnutzen, um versteckte Programme zu platzieren, die Kreditkartendaten stehlen, oder um ein Rootkit in die gehackte Site einzuschmuggeln.