Der Feind im Haus: Wenn Mitarbeiter Daten stehlen

Mögliche Angreifer können sich zur Ausnutzung aktueller Lücken zum Metasploit-Framework greifen, siehe Bild 1. Dabei handelt es sich um eine Sammlung von Programmen, die eigentlich dazu gedacht ist, Penetrationstests durchzuführen und die Sicherheit von Servern gegenüber bekannten Schwachstellen zu prüfen. Es läuft unter Unix-Betriebssystemen, kann aber zusammen mit dem Posix-Layer Cygwin auch unter Windows betrieben werden. Dafür gibt es einen fertigen Installer. Für die Nutzung des Metasploit-Frameworks sind keine Admin-Rechte erforderlich.

Das Framework unterscheidet zwischen Exploits und Payloads. Ein Exploit ist Programmcode, der eine Schwachstelle ausnutzt. Das Framework wird täglich um aktuelle Exploits ergänzt. Anhand des Namens lässt sich meist der zugehörige Microsoft-Security-Bulletin ablesen, siehe Bild 2.

Jeder Exploit kann mit einem Payload kombiniert werden, der die Fernsteuerung eines fremden Servers erlaubt. Für Windows-Rechner ist Meterpreter (PDF) besonders beliebt. Es erlaubt verschiedene Angriffe, etwa den Dump der gesamten Password-Hash-Datenbank des kompromittierten Rechners. Außerdem lässt sich jeder beliebige Prozess starten, beispielsweise cmd.exe, um eine Kommandozeile auf dem fremden Rechner zu bekommen, siehe Bild 3. Damit hat der Angreifer Zugriff auf alle Daten.

Auch wenn ein Server nicht aus dem Internet erreichbar ist, sollte man ihn immer auf dem neuesten Patchstand halten. Das Metasploit-Framework wird zwar mit der Kommandozeile bedient, dennoch kommen damit auch weniger versierte Benutzer zurecht. Dazu müssen sie nur eine Liste mit Kommandos abtippen, die sie von einem professionellen Angreifer erhalten haben.