Fies: DNSChanger greift Heim-Router an

(Bild: Shutterstock)

Die Router von Privatnutzern stehen weiter im Kreuzfeuer. Hacker wollen sie übernehmen, um dann weitergehende Angriffe auf Webseiten und den Anwender unternehmen zu können. Sicherheitslücken in Heimroutern machen es ihnen leicht.

Die Sicherheitsfachleute von Proofpoint haben eine bessere Version des Exploit-Kits „DNSChanger“ entdeckt, die Heim-Router angreift und Nutzeranfragen umleitet. So geschieht es meistens mit dem Traffic großer Anzeigennetzwerke, doch natürlich können Nutzer auch auf gefälschte Bankseite und ähnliches umgeleitet werden. Das geschieht unabhängig vom Betriebssystem.

Laut Proofpoint enthält das Exploit-Kit DNSChanger nun 129 sogenannte „Fingerabdrücke“ die es ihm erlauben die 255 Router-Modelle zu attackieren. 2015 waren es erst 55 Fingerabdrücke. In 36 Fällen ändert das Exploit-Kit die Netzwerkregeln, damit dann die Verwaltungs-Ports von externen Adressen aus erreichbar sind. Damit sind die Router dann auch für Angriffe wie diejenigen anfällig, die durch die Mirai-Botnetze ausgeführt werden und die mit dem Angriff auf die Telekom-Router vergleichbar sind. Und schließlich ist es den Angreifern nun auch möglich, den Router über Android-Geräte zu infizieren.

Für die Angriffe werden Nutzer laut Proofpoint mittels sogenanntem Malvertising, als scheinbar legitimen Anzeigen, die aber auf URLs mit gefährlichen Inhalten verwiesen, dazu verleitet, Seiten aufzurufen, auf denen sie sich das Exploit-Kit DNSChanger einfangen. Die so über den Browser auf das Gerät transportierte Schadsoftware kann dann verwendet werden, um den Router zu infizieren. Der kann dann nicht nur in ein Botnet eingebunden werden, sondern durch Man-in-the-Middle-Attacken auch für den Angriff auf andere Nutzer verwendet werden, sie sich mit dem Router verbinden.

Eine vollständige Liste betroffener Router zu liefern, so wie das früher möglich war, halten die Proofpoint-Experten aktuell nicht für möglich. Die Hintermänner des Eploit-Kits hätten die offensichtliche Verbindung Mitte 2015 entfernt. Möglicherweise könnte eine weitergehende Untersuchung hier Anhaltspunkte liefern. Derzeit müssten Endanwender davon ausgehen, „dass alle bekannten Exploits in diese Art von Exploit-Kit integriert sind, sodass alle Router auf die neueste bekannte Firmware aktualisiert werden müssen.“

Ganz dringend zu empfehlen ist dies unter anderem Nutzern der Router-Modelle D-Link DSL-2740R, Netgear WNDR3400v3 (und vermutlich andere Modelle dieser Reihe) sowie Netgear R6200. Die Funktion zur Ausnutzung der Schwachstellen in diesen Routern seien kürzlich neu in das Exploit-Kit aufgenommen worden.

Auch Besitzer der Netgear-Router R6250, R6400, R7000 und R8000 sowie der Ausführungen D6220, D6400, R6700, R6900, R7100LG, R7300DST und R7900 sollten das von Netgear bereitgestellte Update umgehend einspielen da es wahrscheinlich nur ein Frage der Zeit ist, bis auch bei ihnen die Schwachstellen – sofern möglich – von dem Exploit-Kit ausgenutzt werden.

Proofpoint empfiehlt Nutzern zudem dringend, grundsätzlich die Fernverwaltung ihrer Router zu deaktivieren, falls die nicht dringend benötigt wird. Zwar seien die Angreifer beim DNSChanger-Exploit-Kit nicht auf diesen Weg angewiesen, um die Router-Einstellungen ändern zu können, die Abschaltung erhöhe aber generell die Sicherheit. Außerdem rät Proofpoint: „Das Einspielen der neuesten Firmware-Aktualisierungen ist nach wie vor die beste Möglichkeit, diese Exploits zu vermeiden. Die Änderung des Standard-IP-Adressbereichs kann in diesem speziellen Fall ebenfalls einigen Schutz bieten.“ Da jedoch erfahrungsgemäß durchschnittliche Nutzer von SOHO-Routern keine dieser Maßnahmen durchführen, seien die Router-Hersteller in der Pflicht, „Verfahren zu entwickeln, mit denen sich ihre Hardware auf einfache Weise und benutzerfreundlich aktualisieren lässt.“

Bisher ist dieser schon öfter laut gewordenen Aufforderung nur AVM nachgekommen: Der Berliner Hersteller hat bei seinen Routern nach Sicherheitsproblemen im Februar 2014 einen Mechanismus für automatische Updates integriert. Er ist in dem seit Sommer 2014 verfügbaren Fritz OS 6.20 standardmäßig aktiviert, kann sich aber von Profi-Nutzern, die sich lieber selbst darum kümmern wollen oder fürchten, spezielle Konfigurationen könnten dadurch gestört werden, auch abgeschaltet werden.

Tags :Quellen:Mit Material von Peter Marwan, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising