In dieser Woche tauchte in der Bourne Again Shell (Bash) ein neuer, Internet-weiter Fehler auf, der schlimmer zu sein scheint als das OpenSSL-Heartbleed-Problem. Zwar ist noch nicht bekannt, wie schwerwiegend er wirklich ist, doch allerorts wird bereits darüber gesprochen und vielleicht haben Sie auch in den TV-Nachrichten darüber gehört – wobei die Nachrichtensprecher meist vor einem grünlichen Bildschirm sitzen, auf dem Computer-Code schnell vorbeiläuft.
Was ist Bash?
Bash ist eine Art Scripting-Sprache und Command-Line-Shell-Programm, das im Jahr 1989 vom GNU Project entwickelt wurde. Es ermöglicht Anwendern und Maschinen, Kommandos einzugeben, die dann von dem Programm auf Systemebene ausgeführt werden. Im Grunde gibt es – einfach gesagt – Befehle aus und setzt diese um. Mehr dazu finden Sie auf der GNU-Bash-Seite.
Bash ist auf der Mehrheit der Unix-Systeme und Linux-Versionen zu finden, aber auch in Apples Betriebssystem OS X, das viele Unix- und Linux-Elemente enthält. Darüber hinaus ist Bash auf einer sehr, sehr großen Zahl von Web-Servern und in Haushaltsgeräten zu finden, unter anderem in Routern und Modems sowie anderen Geräten, die mit dem Internet verbunden sind.
Der Bash-Fehler wurde von Stephane Chazelas, einem Unix-/Linux-Netzwerk- und Telekom-Administrator der Sicherheitsfirma Akamai, entdeckt. Wie Sie sich vorstellen können, gibt es diese Sicherheitslücke schon einige Zeit, vielleicht schon seit über 20 Jahren. Wie auch bei Heartbleed, können wir nur hoffen, dass Chazelas der erste war, der den Fehler entdeckt hat, aber das werden wir wohl nie ganz genau wissen.
Wie betrifft die Bash-Sicherheitslücke die Anwender?
Es dauerte nicht lange, bis In-The-Wild-Exploits auftauchten, die die Bash-Sicherheitslücke ausnutzen. Diese Exploits erlauben einem Angreifer, aus der Ferne schädliche ausführbare Dateien an Code-Teile oder Scripte anzufügen, die dann ausgeführt werden, wenn Bash aufgerufen wird. Mit anderen Worten: Ist ein Exploit erfolgreich platziert, könnte ein Angreifer die komplette Kontrolle über das betroffene System übernehmen.
Die Frage, ob der Bash-Fehler das neue Heartbleed sei, beantworten die Kaspersky-Experten des Global Research and Analysis Teams (GReAT) so: „Für einen Cyberkriminellen ist die Bash-Sicherheitslücke viel einfacher auszunutzen als Heartbleed. Zudem konnte er bei Heartbleed nur Daten aus dem Speicher stehlen und hoffen, dass etwas Interessantes dabei ist. Im Vergleich dazu kann die Bash-Sicherheitslücke die komplette Kontrolle des Systems möglich machen. Also scheint sie auch gefährlicher zu sein.“
Die Kaspersky-Forscher spekulierten auch über ein Szenario, in dem der Bash-Fehler missbraucht wird, um Bankdaten und schließlich Geld zu stehlen. Natürlich ist es für einen Angreifer möglich, Bash auszunutzen und Login-Daten von privaten Computern zu stehlen, doch dafür müsste der Angreifer einen Angriffsvektor finden, um auf das Bash-Command-Interface zugreifen zu können. Und das wäre nicht gerade einfach. Realistischer ist dagegen, dass ein Angreifer auf einen Server abzielt, der von Ihrer Bank-Webseite verwendet wird und mit einem Zugriff eine ganze Reihe Bankkonten plündern könnte.
Was ist die #Bash-Sicherheitslücke und warum betrifft sie uns alle?
Tweet
Die folgende Warnung des United States Computer Emergency Readiness Teams fasst die Gefährlichkeit der Sicherheitslücke wahrscheinlich am besten zusammen: „Diese Sicherheitslücke wird nach Branchenstandards als ‚hoch‘ eingestuft, mit einem CVSS Impact Subscore von 10 und ’niedrig‘ bei der Komplexität, was bedeutet, dass es für deren Ausnutzung wenig Erfahrung braucht. Der Fehler erlaubt Angreifern, extra erstellte Umgebungsvariablen zu verbreiten, die eigenmächtige Befehle enthalten, die auf anfälligen Systemen ausgeführt werden können. Die Lücke ist besonders gefährlich, da die Bash-Shell so weitverbreitet ist und sie von vielfältigen Arten von Programmen aufgerufen werden kann.“ Dass der Bash-Fehler als hochgefährlich eingestuft wird und leicht auszunutzen ist, unterscheidet ihn ebenfalls von Heartbleed, der zwar ebenfalls hochgefährlich, aber nur schwer auszunutzen war.
Wie kann man sich schützen?
Das einzige, das Sie momentan für Ihren Schutz tun können (abgesehen davon, das Internet nicht zu nutzen), ist, alle Programm-Updates so schnell wie möglich zu installieren, wenn diese verfügbar werden. Bei Betriebssystemen auf Desktop-PCs und Laptops müssen Sie auf die Entwickler und Hersteller warten, die entsprechende Patches veröffentlichen müssen.
Bei Routern, Modems und anderen Geräten gibt es leider keine allgemeingültige Lösung. Voraussichtlich werden die Hersteller all dieser Geräte Firmware-Updates veröffentlichen – so wie sie wollen und wann sie wollen. Diese Updates werden sich in den meisten Fällen nicht automatisch installieren, wie es bei Updates für Programme und Betriebssysteme der Fall ist.
Ein weiteres Problem ist laut den Kaspersky-Experten, dass Bash so vielseitig einsetzbar ist und in so vielen unterschiedlichen Varianten genutzt wird, dass Patches zwangsläufig immer zu kurz greifen werden. Das Schließen der Bash-Sicherheitslücke wird daher ein langwieriger Prozess mit viel Herumprobieren sein. Und genau deshalb charakterisieren zahlreiche Forscher und viele Medien die erste Runde der Bash-Patches als „nicht komplett“.
Ein weiteres Problem, das ich noch ansprechen möchte ist, dass *nix-Systeme überall zu finden sind, und deshalb ist auch Bash überall zu finden. Es wird zweifelsohne immer Maschinen geben, auf denen Bash läuft und die nicht aktualisiert werden können. Es wird auch immer Maschinen geben, auf denen Bash läuft, ohne dass es jemand weiß.
Wie Robert Graham von ErrataSec in seinem lesenswerten Blog schrieb, ist „die Zahl der Systeme, die aktualisiert werden müssen, aber nicht aktualisiert werden, größer als bei Heartbleed.“Und laut Graham sind nach wie vor Hunderttausende Webseiten anfällig für OpenSSL Heartbleed, und das Monate nachdem die entsprechenden Patches veröffentlicht wurden.