E-mail hackt Router ohne eigenes Zutun

Hier findet alles Platz, was du woanders nicht unterbringen konntest!

E-mail hackt Router ohne eigenes Zutun

Beitragvon Menschle » Di 4. Dez 2012, 15:19

  • Risiko
  • Gefahr
  • Beschreibung
  • Abhilfe
  • Weiterführende Links
  • Technische Hintergründe
  • Fazit

Risiko

Hoch.


Gefahr
Eine ganze Reihe von Routern sind anfällig für eine ungewollte Fernkonfiguration durch E-mails.
Betroffen sind insbesondere Router von Arcor, Asus und TP-Link, aber auch weitere, bislang noch undokumentierte Router könnten ebenfalls manipuliert werden.
Einfaches aufrufen einer solch manipulierten E-mails genügt bereits - weiteres anklicken ist nicht erforderlich.


Beschreibung
Router haben ein eigenes Webinterface, welches über einen Browser des eigenen Computers aufrufbar ist.
So kann über eine IP (z.B. oftmals 192.168.1.1, kann aber auch variieren) die Web-Oberfläche des Routers aufgerufen werden.
Diese Web-Oberfläche erwartet zunächst Name und Passwort für den Zugriff, welche jedoch im Auslieferungszustand bekannte Standart- Namen und Passwörter beinhalten, und im Web auch nachlesbar sind.
Viele Besitzer haben eben diese Standart- Namen und Passwörter nicht geändert, und setzen dadurch die Anwender aller Computer im angeschlossenen Netzwerk unnötig neuen Gefahren aus.
Nicht nur Phishing wird dadurch möglich, sondern es können auch weitere - vom User unbemerkt - gefährliche Webseiten im Hintergrund aufgerufen werden.
Möglich wird dies durch manipulierte DNS-Einträge im Router.
Kurzes Beispiel: Ihr denkt, ihr seid auf der Facebookseite, seid es aber nicht.
Erklärung weiter unten, unter Technische Hintergründe.


Abhilfe
Standart-Passwort des Routers ändern.
( oder keine E-mails mehr lesen :mrgreen: )


Weiterführende Links (Security Quellennachweise)
Mail hackt Router (heise.de)
the-email-that-hacks-you (acunetix.com, englisch)
4,5 Millionen Router gehackt (heise.de)
Exploit über Webseiten (exploit-db.com, englisch)


Technische Hintergründe
Viele User lassen E-mails im HTML-Format zu - was nicht zwangsläufig gefährlich sein muss, sofern keine weiteren Inhalte aus dem Internet nachgeladen werden.
Gefährlich wird es dann, wenn eine HTML-E-mail auf eine IP im eigenen Netzwerk zeigt - was auch die Web-Oberfläche des Routers betrifft.
In solchen E-mails werden meistens mehrere Bilder oder auch iFrames eingebettet, deren IP-Adressen sich jedoch gezielt auf die Router im eigenen Netzwerk beziehen - um Online-Inhalte zu umgehen; die Sicherheitseinstellungen der E-mail-Programme werden somit ausgetrickst.

Solche Bilder oder iFrames der E-mails sind für den Benutzer nicht sichtbar, da sie keinen sichtbaren Inhalt haben und somit auch nicht angezeigt werden.

Im Quelltext einer solchen E-mail könnten sich folgende Zeilen befinden:
<iframe src="http://admin:passwort@192.168.1.1/start_apply.htm?dnsserver=66.66.66.66"></iframe>
oder auch
<img src="http://admin:passwort@192.168.1.1/start_apply.htm?dnsserver=66.66.66.66" />

Da im Client (Browser, oder E-mailprogramm) aufgerufene IP´s mitsamt Parametern auf dem eigenen Rechner ausgeführt werden, wird der Router direkt angesprochen, sofern das Passwort übereinstimmt.
Sind erstmal die DNS-Eiträge des Routers manipuliert, werden alle Anfragen über einen fremden Server geleitet.
Betroffen sind dann Browser, E-mails, Messenger usw. usf. - einfach alles vom eigenen Rechner aus.
Möglich werden dann z.B. Phishing und Man-in-the-middle -Attacken.
Dies ist für die User nicht nachvollziehbar, da es weder in der URL-Zeile des Browser steht, noch ein angewendetes Programm darauf hinweisen wird.

Selbst (miese) Webseiten versuchen, solche Schwachstellen auszunutzen.


Fazit
Schnell das Standart-Passwort des Routers ändern. ;)

LG, euer Menschle
Bild
Benutzeravatar
Menschle
soundafair-Team
 
Beiträge: 86
Registriert: Do 20. Okt 2011, 18:37

Zurück zu Allerlei

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron