The enemy within: Hintertür in Wordpress-Source eingeschleust

Wie Golem heute nacht berichtet, ist es einem Angreifer gelungen, eine Sicherheitslücke in den offiziellen Download von Wordpress einzuschleusen. Jeder, der in den letzten drei bis vier Tagen die Version 2.1.1 von wordpress.org heruntergeladen hat, sollte unbedingt seine Installationen aktualisieren (und sein Log nach Querystrings "ix=" und "iz=" durchsuchen). Eine Version ohne der Hintertür wurde nun mit der Versionsnummer 2.1.2 zum Download bereitgestellt.

Server, die solche populären Downloads zur Verfügung stellen, sind natürlich ein idealer Multiplikator für solche Hintertüren - der Angreifer muß sich nicht die Mühe machen, viele einzelne Rechner zu hacken: Pflichtbewußte Administratoren aktualisieren die bei ihnen installierte Software regelmäßig und bauen dabei unfreiwillig die Hintertür des Angreifers in ihr System ein.
Solche Angriffe sind nicht neu: Es gab beispielsweise bereits Versuche, eine Hintertür in den Linuxkernel einzuschleusen, oder der (geradezu legendäre) Proof-of-Concept, bei dem der gcc-Compiler so modifiziert wurde, beim Übersetzen des login-Programms eine Hintertür zu integrieren (und neue gcc-Versionen, die mit dem gepatchten Compiler übersetzt wurden, ebenfalls um dieses "Feature" zu ergänzen).
Schützen kann man sich gegen solche Angriffe durch Überprüfen von Checksummen oder digitalen Signaturen; allerdings muß dann diese Information aus einer vertrauenswürdigen Quelle, oder zumindest einer anderen Quelle stammen. Wenn der Angreifer beim Upload der veränderten Programmversion auch die Webseite mit den Informationen über die korrespondierende Checksumme verändern kann, besteht natürlich kein Schutz.
Digitale Signaturen (z.B. mit pgp) bieten sich natürlich ebenfalls an; allerdings darf es dem Angreifer nicht gelingen, den geheimen Schlüssel in seinen Besitz zu bringen (er darf also nicht auf dem Download-Server hinterlegt sein). Außerdem benötigt man zum Überprüfen der Signatur wiederum den öffentlichen Schlüssel aus einer vertrauenswürdigen Quelle - sonst kann der Angreifer einen selbsterzeugtes Schlüsselpaar zum Erstellen der Signatur verwenden, und den öffentlichen Schlüssel zusammen mit der veränderten Software auf der Webseite zum Download bereitstellen. Auch hier gab es schon Vorfälle: So zertifizierte Verisign in der Vergangenheit einmal falsche Schlüssel, die angeblich zu Microsoft gehörten (so könnte man beispielsweise seine "persönlichen" Windows Updates erstellen und verbreiten).
Dennoch sind die digitalen Signaturen den einfachen Checksummen vorzuziehen: Man muß nur einmal sicherstellen, daß man den "echten" öffentlichen Schlüssel erhalten hat - bei der Checksumme ist bei jedem Download die Authentizität zu überprüfen.

comments powered by Disqus