Warnung: Kombi-Attacken auf Firmen-PCs

Sicherheitsspezialisten warnen vor einer Kombination verschiedener Attacken, mit denen unbekannte Angreifer derzeit vor allem Unternehmen Schaden zufügen.

In einem ersten Schritt erfolgt dabei das so genannte "Domain-Name-System-(DNS-)Poisoning", bei dem eine Schwachstelle innerhalb bestimmter DNS-Server ausgenutzt wird, um das Abbilden von URLs auf IP-Adressen zu manipulieren. Sämtliche an diesen Server eingehende Anfragen nach Webseiten einer beliebigen .com-Domain werden daraufhin an Server umgeleitet, die unter der Kontrolle der Angreifer stehen.

Diese Rechner prüfen, über welchen Browser die Abrufe gestellt wurden. Wenn es sich dabei um den Internet Explorer von Microsoft handelt, versuchen die Angreifer, ein etwa 18 MByte großes Software-Paket zu installieren, das unter anderem Ad- und Spyware enthält. Auch der bekannte Trojaner "Krepper" soll sich darunter befinden. Das Vergiften des DNS-Servers stört zudem die Internet-Verbindung des Unternehmens. Nach Aussagen von Ken Dunham, Leiter Malicious Code beim auf Sicherheit spezialisierten Dienstleister iDefense im US-Bundesstaat Virginia, geschieht dies alles im Hintergrund, ohne das Wissen des Anwenders.

Der Experte schätzt, dass bislang etwa 20.000 Rechner auf diese Weise attackiert wurden. Derzeit sind davon vor allem Unternehmen in den USA betroffen. Kyle Hausgness vom Internet Storm Center (ISC) des SANS Institute schätzt, dass innerhalb von sechs Tagen etwa 500 Firmen Ziel der Angriffe waren. Dunham glaubt sogar, dass über 3000 DNS-Server im Laufe des letzten Monats befallen wurden. Von Angriffen auf DNS-Server deutscher Unternehmen ist bislang nichts bekannt. (Martin Seiler/mec)