Flash-Lücke ermöglichte Angriff auf RSA

Der Angriff auf den Anbieter von Sicherheitslösungen RSA , bei dem die Hacker wichtige Informationen stahlen , wurde durch eine Sicherheitslücke in Adobe Flash ermöglicht. Das schreibt Uri Rivner, Head of New Technologies, Consumer Identity Protection, in einem Blog-Beitrag . Durch den im März entdeckten Angriff waren technische Informationen über die SecurID-Tokens des Unternehmens für Zwei-Faktor-Authentifizierung entwendet worden.

Laut Rivner haben die Angreifer zunächst zwei getrennte Gruppen von RSA-Angestellten mit zwei E-Mails aufs Korn genommen. Unter den Empfängern der Mails in beiden Gruppen wären „keine besonders auffälligen oder wichtigen Ziele“ gewesen. Als Dateianhang hätten beide Sendungen eine Excel -Datei mit dem Titel „2011 Recruitment Plan“ (Rekrutierungsplan für 2011) enthalten, die einen Zero-Day-Exploit ausnutzte, um über Flash eine Backdoor auf den Systemen zu installieren. So bekamen die Angreifer an den Sicherheitsvorkehrungen des Unternehmens vorbei Zugriff auf die Rechner der Angestellten.

Mit diesem Zugriff sei es den Hackern möglich gewesen, ein schwer zu entdeckendes Fernsteuerungsprogramm mit dem Namen „Poison Ivy“ ( Gift-Efeu ) auf wenigstens einem der betroffenen Computer zu installieren. Diese Software wiederum diente als Werkzeug, um Zugangsdaten zu sammeln und sich höhere Systemrechte zu ergaunern, liest man in dem Blog. Schließlich hätten die Angreifer einen Zugang zu wirklich wertvollen Zielen erhalten. Laut Rivner ging es um „Experten für Prozesse, IT- und nicht IT-spezifische Server-Administratoren“.

Zu dem von Rivner beschriebenen Zeitpunkt konnten die Cracker auf RSA-Staging-Server zugreifen, die an wichtigen Sammelpunkten des Firmennetzes lokalisiert waren. So bewegten sie sich durch das Netz, sammelten Daten und kopierten sie auf die Staging-Server, wo das digitale Diebesgut gesammelt, komprimiert und verschlüsselt wurde.

Schließlich transportierten die Hacker nach Rivners Angaben die passwortgeschützten Dateien im RAR-Format (Roshal Archive) über das FTP-Protokoll (File Transfer Protocol) von dem RSA-Server auf einen externen Staging-Server, der auf einer kompromittierten Maschine bei einem Hosting-Provider lief. Von diesem Rechner besorgten sich die Angreifer schließlich ihre Beute und löschten ihre Spuren auf der kompromittierten Maschine. Adobe hat am 14. März einen Patch für die ausgenutzte Sicherheitslücke veröffentlicht.

Bildergalerie

Täuschend echt: Scareware

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels