Einbruch bei RSA: Der Flash Player war schuld

RSA hat Details zu dem Einbruch in seine Server veröffentlicht. Konkrete Angaben, welche Daten nun gestohlen wurden, macht der Hersteller jedoch weiterhin nicht.

In Pocket speichern vorlesen Druckansicht 155 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

RSA hat in seinem Firmen-Blog Details zu dem vor rund zwei Wochen bekannt gewordenen Einbruch in seine Server veröffentlicht. Laut Uri Rivner, Leiter der Sparte "Consumer Identity Protection" gelang der Einbruch über eine Backdoor, die über infizierte Mails installiert wurde. Die Mails enthielten im Anhang eine Excel-Tabelle, in der wiederum eine präparierte Flash-Datei eingebettet war. Beim Öffnen der Tabelle startete der Flash Player zum Abspielen das Flash-Applets. Durch einen mittlerweile von Adobe beseitigten Fehler war es möglich, Code in das System einzuschleusen und zu starten. F-Secure hat den Ablauf eines Angriffs beschrieben, bei dem der gleiche Exploit verwendet wurde.

Laut RSA wurden insgesamt zwei Varianten infizierter Mails mit dem Anhang "2011 Recruitment plan.xls" über zwei Tage an eine Gruppe von RSA-Mitarbeitern verschickt, wovon einer die Mail aus seinem Spam-Ordner herausholte und öffnete. Mit dem Exploit installierten die bislang unbekannten Angreifer das hinlänglich bekannte, frei verfügbare "Fernwartungstool" Poison Ivy. Mit dem Tool gelang es dann, Zugangsdaten zu Servern auszuspähen, sich dort anzumelden und (durch weitere Schwachstellen) an höhere Rechte zu gelangen. So arbeiteten sich die Eindringlinge allmählich vor, bis sie schließlich auf die für sie interessanten Systeme Zugriff hatten.

Dort sammelten die Täter Daten und kopierten sie auf andere Server im internen Netz, wo sie die Informationen zusammenfassten, komprimierten, verschlüsselten und auf einen externen FTP-Server luden. Der Angriff erinnnert an den Google-Hack Anfang 2010, bei dem Angreifer eine Lücke im Internet Explorer zur Installation einer Backdoor ausnutzten und sich dann bis zu Googles Single-Sign-On-System vorarbeiteten.

RSA macht aber weiterhin keine Angaben, welche Daten konkret ausgespäht wurden und ob etwa die sogenannten Seeds und Seriennummern der SecurID-Tokens nun in den Händen der Täter sind. Mit den Seeds ließen sich die ständig wechselnden OTPs berechnen. Fest steht nur, dass der Vorfall die Sicherheit der Tokens zumindest "beeinträchtigt". Sicherheitsspezialisten vermuten mittlerweile jedoch das Schlimmste und gehen davon aus, dass SecurID-Tokens gar keine Sicherheit mehr bieten und das System als geknackt angesehen werden muss. Dafür sprechen auch die Empfehlungen (PDF) von RSA an seine Kunden, alle Maßnahmen zu ergreifen, damit Angreifer nicht auch noch an Anwendername und PIN der Tokens gelangen. Zudem sollen Kunden ihre Infrastruktur genauer überwachen, um verdächtige Aktivitäten schneller erkennen zu können. (dab)