[English]CyberNews-Sicherheitsforscher haben eine Desktop Services Store (DS_STORE)-Datei, die auf einem öffentlich zugänglichen Webserver von Microsoft Vancouver gespeichert war, entdeckt. Durch die Analyse der Datei konnte das Team die auf dem Server von Microsoft Vancouver gehosteten Dateien sowie mehrere auf dem Server gespeicherte Datenbank-Dumpdateien herausfinden. Nachdem die Sicherheitsforscher von CyberNews Microsoft informiert hatten, wurde die Datei gelöscht.
Anzeige
Es ist ein Fall, der zeigt, dass der Teufel im Detail steckt. Sicherheitsforscher – darunter auch wir von CyberNews – verwenden routinemäßig Suchmaschinen, die öffentlich zugängliche Geräte und Webserver des Internet of Things (IoT) zur Suche auf Schwachstellen und Datenlecks indizieren. Auf diese Weise können Sicherheitsforscher Benutzer und Unternehmen warnen, dass ihre Daten gefährdet sind, und ihnen helfen, die Lecks zu schließen.
Eine einfache Desktop Services Store (DS_STORE)-Datei auf einem öffentlich zugänglichen Webserver von Microsoft Vancouver öffnete die Büchse der Pandora.
Solche .DS_Store-Dateien entstehen laut diesem Wikipedia-Eintrag, wenn von macOS auf Ordner zugegriffen wird.
Die in der Datei gespeicherten Metadaten führten die Forscher zu mehreren WordPress-Datenbank-Dumps, die mehrere Administrator-Benutzernamen und E-Mail-Adressen sowie das gehashte Kennwort für die Website von Microsoft Vancouver enthielten. Diese Datenbank-Dumps enthielten:
- mehrere Administrator-Benutzernamen
- E-Mail-Adressen von Administratoren
- das gehashte Kennwort für die WordPress-Website von Microsoft Vancouver.
wie die Sicherheitsforscher hier dokumentiert haben. Laut der Website, arbeiten bei Microsoft Vancouver Teams, die an der Entwicklung einer Vielzahl von Microsoft-Produkten beteiligt sind. Darunter sind auch "Notes, MSN, Gears of War, Skype und Mixed-Reality-Anwendungen, sowohl für den Desktop als auch für HoloLens".
Welche Gefahr geht von DS_STORE-Dateien auf Webservern aus?
Diese DS_STORE-Datei mit Details zu dem, was auf dem Server gespeichert ist, könnte katastrophale Folgen haben, z. B:
- Angreifer könnten die offengelegten WordPress-Anmeldeinformationen nutzen, um Malware oder Ransomware auf dem Server einzuschleusen, was es ihnen ermöglichen würde, ihn als Geisel zu nehmen, ihn weiter auszunutzen oder möglicherweise das Netzwerk von Microsoft Vancouver zu infiltrieren.
- Wenn sie die WordPress-Anmeldedaten von Microsoft Vancouver in die Hände bekämen, könnten Phisher die ursprüngliche Microsoft-Domäne nutzen, um massive Phishing-Kampagnen durchzuführen, die Phishing-Filter umgehen. Solche Phishing-Nachrichten würden als legitime E-Mails von Microsoft angezeigt werden. Das bedeutet, dass die Wahrscheinlichkeit groß ist, dass die meisten Empfänger sie als von einer vertrauenswürdigen Quelle stammend ansehen würden, was die Wahrscheinlichkeit einer anschließenden Infektion massiv erhöht.
- Wenn Microsoft Vancouver Mailinglisten auf seiner Website speichert, könnten Bedrohungsakteure diese stehlen und Phishing-E-Mails vom selben Server direkt an die Abonnenten von Microsoft senden, zu denen möglicherweise auch aktuelle Microsoft-Mitarbeiter gehören.
Ende September setzten sich CyberNews-Forscher mit Microsoft Kanada in Verbindung, um ihre Erkenntnisse mitzuteilen und bei der Sicherung der gefährdeten Datei zu helfen. Seitdem hat Microsoft Kanada viele E-Mails hin und her geschickt, um den öffentlichen Zugriff auf die Datei zu deaktivieren. Am 2. Dezember wurde die DS_STORE-Datei gesichert, so dass keine sensiblen Daten mehr durchsickern. Wir warten immer noch auf eine Stellungnahme von Microsoft Canada zu diesem Fall und werden die Recherche aktualisieren und Sie informieren, wenn dies geschieht. Die Details lassen sich hier nachlesen.
2015
Mmmh, "someone wrote something wrong on the internet". Aber nun gut. Das Problem scheint doch da gar nicht die DS_STORE zu sein, sondern viel mehr die rumliegen Klartext DB Dumps. Oder täusche ich mich da und "Security through no dir listing" ist grad so voll das Ding?
WER arbeitet da bei Microsoft Vancouver? WordPress Installation, ernsthaft?
Eher so: SQL Dump auf dem Webserver, ernsthaft?
Zig automatische Scanner suchen nach solchen Dumps und sonstigen Dingen, tagein, tagaus. Hier ist ausnahmsweise mal nicht WordPress das Problem, sondern die Fachkraft, die den SQL Dump auf dem Webserver abgelegt hat, sowas macht WordPress nämlich nicht.
Über einen Monat für eine Trivialität mit kritischen Auswirkungen auf die Sicherheit. Da möchte man doch Kunde sein…
Wieso, ich höre immer alternativlos und ich täte bloß stänkern – duck und wech ;-).
OK, ok, der Fall soll eigentlich zeigen, dass das "wie kann man nur bloß …" schlicht nie auszuschließen ist. Da hat ein Admin einen schlechten Tag, Ärger mit dem Chef, der Frau, Stress am Arbeitsplatz oder was auch immer – und muss mal schnell noch was machen, bevor der nächste Feuerwehr-Job ruft. Schon ist es passiert.
Oder Du nutzt irgend ein tolles Plugin, was irgend etwas sichert und fragst dich nachher, wo hat das überall Daten abgelegt. Also: Ich bekenne, ich habe das eine oder andere Backup-Plugin mal getestet und dann gesucht, wo die Dateien hin gewandert waren. Das ist doch alles oft Black-Box und die Leute sitzen in Schussfahrt auf einem Horn-Schlitten, ohne es überhaupt zu merken.