Schwachstellen in Exploit-Baukästen entdeckt

Security-Forscher haben einige gängige Exploit-Kits auf Sicherheitslücken untersucht und sind fündig geworden. Über die entdeckten Löcher könnten Angegriffene zurückschlagen.

» Von idg, 23.06.2010 11:00.

Online-Kriminelle verwenden durchaus einige Zeit und Mühe darauf Sicherheitslücken in verbreiteten Programmen zu finden oder öffentlich bekannten Exploit-Code für ihre Zwecke zu missbrauchen. Weniger Mühe geben sie sich offenbar mit ihrer eigenen Software, die im Untergrund zu hohen Preisen angeboten wird.

Die Forscher des französischen Sicherheitsunternehmens Tehtri Security haben einige Exploit-Kits wie «Eleonore», «Lucky» oder «Yes» seziert und darin insgesamt 13 ausnutzbare Schwachstellen entdeckt. Laurent Oudot hat die Befunde in der letzten Woche auf der Sicherheitskonferenz SyScan in Singapur vorgestellt. Die Schwachstellen reichen von XSS-Lücken in der Web-Oberfläche bis zur Möglichkeit von SQL-Injection-Angriffen auf die Datenbank.

Ermittler können so in die Web-basierte Kommandozentrale eines laufenden Exploit-Kits vordringen. Sie können mehr über die Täter erfahren, eventuell Spuren aufnehmen, die zu ihrer Ergreifung führen. Oudot geht sogar soweit vorzuschlagen, Angegriffene könnten sich aktiv zur Wehr setzen und zurückschlagen. Er weist allerdings auch darauf hin, dass diese Art der Notwehr in vielen Ländern rechtlich problematisch sein kann.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.