Yahoo und WinZip bestätigen Hackerangriffe auf ihre Server

Yahoo und WinZip haben einen Bericht der Sicherheitsfirma Future South Technologies bestätigt, wonach Hacker in mehrere Server beider Unternehmen eingedrungen sind. Yahoo hat jedoch dementiert, dass die Angreifer die weitverbreitete Shellshock-Lücke in der Linux-Shell Bash benutzt haben. Zudem beteuerte der Internetkonzern, es seien keine Nutzerdaten entwendet worden.

Die Adressen der laut Jonathan Hall, President von Future South Technologies, kompromittierten Yahoo-Server weisen darauf hin, dass sie zum Dienst Yahoo Sports gehören. Am Montag hatte ein Yahoo-Sprecher mitgeteilt, dass „eine Handvoll“ seiner Server durch den Shellshock-Bug gehackt worden sei. Yahoos Chief Information Security Officer Alex Stamos widerrief diese Aussage später jedoch.

„Zuvor haben wir berichtet, dass wir eine Handvoll von Server isoliert haben, die einer Sicherheitslücke ausgesetzt waren“, schreibt Stamos in einem Blogeintrag. „Nach einer vollständigen Analyse der Situation hat sich herausgestellt, dass die Server tatsächlich nicht von Shellshock betroffen waren.“

Die Angreifer hätten vielmehr eine andere Anfälligkeit in einem Debugging-Skript ausgenutzt, das Yahoo zu dem Zeitpunkt ausgeführt habe, so Stamos weiter. Er wiederholte zudem die Aussage seines Kollegen, dass die Hacker keinen Zugriff auf Kundendaten hatten.

Hall wiederum zweifelt diese Aussage an. „Man kann nicht einfach annehmen, dass Nutzerdaten nicht betroffen waren“, sagte er. Er kritisierte zudem die Stellungnahme des Internetkonzerns zudem als zu vage. „Hast Du drei Server abgeschaltet oder eine Handvoll isoliert? Sobald man sich in einem Server befindet, ist es nicht sehr schwer, auf einen anderen überzuspringen.“

Darüber hinaus bleibt Hall bei seiner Aussage, die Hacker hätten bei ihrem Angriff auf Yahoo die Shellshock-Lücke benutzt. Genau genommen gehe es um eine Variante von Shellshock, was bei dem Bug keine unübliche Entwicklung sei. Tatsächlich musste auch Red Hat seinen Shellshock-Patch nachbessern, um alle Schwachstellen in Bash zu beseitigen.

WinZip hat laut Hall die Shellshock-Lücke in seinen Servern inzwischen geschlossen, ohne jedoch ihn oder die Öffentlichkeit zu informieren. Ein WinZip-Sprecher sagte CNET, es seien keine Nutzerdaten kompromittiert worden. Man wende nun „die passenden Softwareupdates an, da die Probleme identifiziert“ wurden.

Hall zufolge wurde auch die Suchmaschine Lycos Opfer eines Angriffs auf die Shellshock-Lücke. Das Unternehmen, das wie Yahoo und WinZip auch erst durch Hall von dem Einbruch erfahren hat, wollte sich nicht zu dem Vorgang äußern.

Ende September hatte unter anderem Red Hat vor der Shellshock genannten Sicherheitslücke in der unter Linux, Unix und OS X verwendeten Shell Bash gewarnt. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung wird Shellshock auch mit der OpenSSL-Lücke Heartbleed verglichen.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de