Kurz vor Weihnachten wurde die Website des Internet Systems Consortium (ISC) Opfer eines Angriffs. Die mit dem Content-Management-System WordPress aufgesetzte Site wurde unterwandert und lieferte den Angler Exploit Kit ca einen Tag lang aus.

Für die Internet-Infrastruktur entwickelt das gemeinnützige ISC essenzielle Software wie den Domain-Name-System-Server BIND und einen DHCP-Server und betreibt zudem einen der 13 ausschlaggebenden Root-Name-Server des DNS, den F-root. Weder die Software noch die Dienstleistungen seien bei dem Angriff kompromittiert worden.

Das ISC rät denjenigen, die die Website "in letzter Zeit" besucht haben, ihre Rechner auf Schädlingsbefall zu untersuchen. Am 22. Dezember wurde der Sicherheitsdienstleister Cyphort Labs auf den Angriff aufmerksam und hat sofort das ISC alarmiert, das die Site am 23. Dezember offline nahm.

Hinweise auf infizierte Rechner gebe es bisher keine. Der Angler Exploit Kit wurde von Cyphort analysiert: Er zielte auf Schwachstellen im Browser Microsoft Internet Explorer (MSIE) und in den Browser-Plug-ins Flash und Silverlight ab. Der Trojaner legt als Memory Based Malware zunächst keine Dateien auf dem Zielsystem ab.

Dan Mahoney, ein Systemadministrator des ISC, erklärte der britischen Nachrichten-Website "The Register", dass es sich wohl um keinen gezielten Angriff gehandelt habe. Durch eine breit gefächerte Angriffswelle, die einen WordPress-Exploit ausgenutzt habe, sei das ISC Opfer gewesen.

Solange die WordPress-Installation abgesichert und gesäubert wird, wird auf www.isc.org eine statische Seite angezeigt. Vom Angriff bleiben die wesentlichen Dienstleistungen unberührt: Die aktuelle Version von BIND und ISC DHCP kann direkt vom FTP-Server heruntergeladen werden. Auf einem separaten Server liegt auch die Knowledge Base mit Support-Informationen, welcher ebenfalls nicht vom Angriff betroffen war.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE