Verbesserte Variante von DNSChanger greift Surfer über Lücken in Heim-Routern an

BreitbandNetzwerke
DSL Internetzugang Beitband (Bild: Shutterstock)

Darauf haben die Experten des IT-Security-Anbieters Proofpoint hingewiesen. Am größten ist die Gefahr für Nutzer des Chrome-Browsers auf Windows-Desktops und Android-Geräten. Zwar wurden einige verwundbare Routermodelle identifiziert, potenziell hält Proofpoint aber alle Heim-Router mit älteren Firmware-Version für gefährdet.

Seit Oktober bekommen es die Experten des IT-Security-Anbieters Proofpoint vermehrt mit einer verbesserten Version des Exploit-Kits “DNSChanger” zu tun. Die erstmals 2012 aufgetauchte Malware greift gezielt Heim-Router an und leitet dann, wie der Name schon erahnen lässt, Anfragen der Nutzer um. In der Regel wird damit “nur” der Traffic großer Anzeigennetzwerke gestohlen, die Hintermänner haben aber viele weitere und auch für den Nutzer direkt gefährliche Möglichkeiten. Sobald ein Router infiziert ist, sind alle mit ihm verbundenen Nutzer durch Angriffe und weiteres Malvertising in Gefahr, unabhängig davon welches Betriebssystem und welchen Browser sie nutzen. Allerdings scheint die Gefahr beim Chrome-Browser auf Windows-Desktops und Android-Geräten am höchsten zu sein.

Laut Proofpoint enthält das Exploit-Kit DNSChanger nun 129 sogenannte “Fingerabdrücke” die es ihm erlauben die 255 Router-Modelle zu attackieren. 2015 waren es erst 55 Fingerabdrücke. In 36 Fällen ändert das Exploit-Kit die Netzwerkregeln, damit dann die Verwaltungs-Ports von externen Adressen aus erreichbar sind. Damit sind die Router dann auch für Angriffe wie diejenigen anfällig, die durch die Mirai-Botnetze ausgeführt werden und die mit dem Angriff auf die Telekom-Router vergleichbar sind. Und schließlich ist es den Angreifern nun auch möglich, den Router über Android-Geräte zu infizieren.

Übersicht über die verzwickte, vollständige Angriffskette des Exploit-Kits DNSChanger (Grafik: Proofpoint)
Übersicht über die verzwickte, vollständige Angriffskette des Exploit-Kits DNSChanger (Grafik: Proofpoint)

Für die Angriffe werden Nutzer laut Proofpoint mittels sogenanntem Malvertising, als scheinbar legitimen Anzeigen, die aber auf URLs mit gefährlichen Inhalten verwiesen, dazu verleitet, Seiten aufzurufen, auf denen sie sich das Exploit-Kit DNSChanger einfangen. Die so über den Browser auf das Gerät transportierte Schadsoftware kann dann verwendet werden, um den Router zu infizieren. Der kann dann nicht nur in ein Botnet eingebunden werden, sondern durch Man-in-the-Middle-Attacken auch für den Angriff auf andere Nutzer verwendet werden, sie sich mit dem Router verbinden.

Analyse von Proofpoint im November 2016 gefundener, gefälschter Werbung mit Code, der nach der Extraktion die Umleitung zum DNSChanger-Exploit-Kit erlaubt. (Screenshot: Proofpoint)
Analyse von Proofpoint im November 2016 gefundener, gefälschter Werbung mit Code, der nach der Extraktion die Umleitung zum DNSChanger-Exploit-Kit erlaubt. (Screenshot: Proofpoint)

Eine vollständige Liste betroffener Router zu liefern, so wie das früher möglich war, halten die Proofpoint-Experten aktuell nicht für möglich. Die Hintermänner des Eploit-Kits hätten die offensichtliche Verbindung Mitte 2015 entfernt. Möglicherweise könnte eine weitergehende Untersuchung hier Anhaltspunkte liefern. Derzeit müssten Endanwender davon ausgehen, “dass alle bekannten Exploits in diese Art von Exploit-Kit integriert sind, sodass alle Router auf die neueste bekannte Firmware aktualisiert werden müssen.”

Ganz dringend zu empfehlen ist dies unter anderem Nutzern der Router-Modelle D-Link DSL-2740R, Netgear WNDR3400v3 (und vermutlich andere Modelle dieser Reihe) sowie Netgear R6200. Die Funktion zur Ausnutzung der Schwachstellen in diesen Routern seien kürzlich neu in das Exploit-Kit aufgenommen worden.

Proofpoint (Bild: Proofpoint)

Auch Besitzer der Netgear-Router R6250, R6400, R7000 und R8000 sowie der Ausführungen D6220, D6400, R6700, R6900, R7100LG, R7300DST und R7900 sollten das soeben von Netgear bereitgestellte Update umgehend einspielen da es wahrscheinlich nur ein Frage der Zeit ist, bis auch bei ihnen die Schwachstellen – sofern möglich – von dem Exploit-Kit ausgenutzt werden.

Proofpoint empfiehlt Nutzern zudem dringend, grundsätzlich die Fernverwaltung ihrer Router zu deaktivieren, falls die nicht dringend benötigt wird. Zwar seien die Angreifer beim DNSChanger-Exploit-Kit nicht auf diesen Weg angewiesen, um die Router-Einstellungen ändern zu können, die Abschaltung erhöhe aber generell die Sicherheit. Außerdem rät Proofpoint: “Das Einspielen der neuesten Firmware-Aktualisierungen ist nach wie vor die beste Möglichkeit, diese Exploits zu vermeiden. Die Änderung des Standard-IP-Adressbereichs kann in diesem speziellen Fall ebenfalls einigen Schutz bieten.“ Da jedoch erfahrungsgemäß durchschnittliche Nutzer von SOHO-Routern keine dieser Maßnahmen durchführen, seien die Router-Hersteller in der Pflicht, “Verfahren zu entwickeln, mit denen sich ihre Hardware auf einfache Weise und benutzerfreundlich aktualisieren lässt.”

Bisher ist dieser schon öfter laut gewordenen Aufforderung nur AVM nachgekommen: Der Berliner Hersteller hat bei seinen Routern nach Sicherheitsproblemen im Februar 2014 einen Mechanismus für automatische Updates integriert. Er ist in dem seit Sommer 2014 verfügbaren Fritz OS 6.20 standardmäßig aktiviert, kann sich aber von Profi-Nutzern, die sich lieber selbst darum kümmern wollen oder fürchten, spezielle Konfigurationen könnten dadurch gestört werden, auch abgeschaltet werden.

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen