{"id":4032,"date":"2014-09-26T10:25:44","date_gmt":"2014-09-26T10:25:44","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4032"},"modified":"2020-02-26T18:36:18","modified_gmt":"2020-02-26T16:36:18","slug":"was-ist-die-bash-sicherheitslucke-und-warum-betrifft-sie-uns-alle","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/was-ist-die-bash-sicherheitslucke-und-warum-betrifft-sie-uns-alle\/4032\/","title":{"rendered":"Was ist die Bash-Sicherheitsl\u00fccke und warum betrifft sie uns alle?"},"content":{"rendered":"

In dieser Woche tauchte in der Bourne Again Shell (Bash) ein neuer, Internet-weiter Fehler auf, der schlimmer zu sein scheint als das OpenSSL-Heartbleed-Problem<\/a>. Zwar ist noch nicht bekannt, wie schwerwiegend er wirklich ist, doch allerorts wird bereits dar\u00fcber gesprochen und vielleicht haben Sie auch in den TV-Nachrichten dar\u00fcber geh\u00f6rt \u2013 wobei die Nachrichtensprecher meist vor einem gr\u00fcnlichen Bildschirm sitzen, auf dem Computer-Code schnell vorbeil\u00e4uft.<\/p>\n

\"Bush\"<\/a><\/p>\n

Was ist Bash?<\/strong><\/p>\n

Bash ist eine Art Scripting-Sprache und Command-Line-Shell-Programm, das im Jahr 1989 vom GNU Project entwickelt wurde. Es erm\u00f6glicht Anwendern und Maschinen, Kommandos einzugeben, die dann von dem Programm auf Systemebene ausgef\u00fchrt werden. Im Grunde gibt es \u2013 einfach gesagt \u2013 Befehle aus und setzt diese um. Mehr dazu finden Sie auf der GNU-Bash-Seite<\/a>.<\/p>\n

Bash ist auf der Mehrheit der Unix-Systeme und Linux-Versionen zu finden, aber auch in Apples Betriebssystem OS X, das viele Unix- und Linux-Elemente enth\u00e4lt. Dar\u00fcber hinaus ist Bash auf einer sehr, sehr gro\u00dfen Zahl von Web-Servern und in Haushaltsger\u00e4ten zu finden, unter anderem in Routern und Modems sowie anderen Ger\u00e4ten, die mit dem Internet verbunden sind.<\/p>\n

Der Bash-Fehler wurde von Stephane Chazelas, einem Unix-\/Linux-Netzwerk- und Telekom-Administrator der Sicherheitsfirma Akamai, entdeckt. Wie Sie sich vorstellen k\u00f6nnen, gibt es diese Sicherheitsl\u00fccke schon einige Zeit, vielleicht schon seit \u00fcber 20 Jahren. Wie auch bei Heartbleed, k\u00f6nnen wir nur hoffen, dass Chazelas der erste war, der den Fehler entdeckt hat, aber das werden wir wohl nie ganz genau wissen.<\/p>\n

Wie betrifft die Bash-Sicherheitsl\u00fccke die Anwender?<\/strong><\/p>\n

Es dauerte nicht lange, bis In-The-Wild-Exploits auftauchten, die die Bash-Sicherheitsl\u00fccke ausnutzen. Diese Exploits erlauben einem Angreifer, aus der Ferne sch\u00e4dliche ausf\u00fchrbare Dateien an Code-Teile oder Scripte anzuf\u00fcgen, die dann ausgef\u00fchrt werden, wenn Bash aufgerufen wird. Mit anderen Worten: Ist ein Exploit erfolgreich platziert, k\u00f6nnte ein Angreifer die komplette Kontrolle \u00fcber das betroffene System \u00fcbernehmen.<\/p>\n

\u201eF\u00fcr einen Cyberkriminellen ist die Bash-Sicherheitsl\u00fccke viel einfacher auszunutzen als Heartbleed. Zudem konnte er bei Heartbleed nur Daten aus dem Speicher stehlen und hoffen, dass etwas Interessantes dabei ist.\u201c<\/div>\n

Die Frage, ob der Bash-Fehler das neue Heartbleed sei, beantworten die Kaspersky-Experten des Global Research and Analysis Teams (GReAT) so: \u201eF\u00fcr einen Cyberkriminellen ist die Bash-Sicherheitsl\u00fccke viel einfacher auszunutzen als Heartbleed. Zudem konnte er bei Heartbleed nur Daten aus dem Speicher stehlen und hoffen, dass etwas Interessantes dabei ist. Im Vergleich dazu kann die Bash-Sicherheitsl\u00fccke die komplette Kontrolle des Systems m\u00f6glich machen. Also scheint sie auch gef\u00e4hrlicher zu sein.\u201c<\/p>\n

Die Kaspersky-Forscher spekulierten auch \u00fcber ein Szenario, in dem der Bash-Fehler missbraucht wird, um Bankdaten und schlie\u00dflich Geld zu stehlen. Nat\u00fcrlich ist es f\u00fcr einen Angreifer m\u00f6glich, Bash auszunutzen und Login-Daten von privaten Computern zu stehlen, doch daf\u00fcr m\u00fcsste der Angreifer einen Angriffsvektor finden, um auf das Bash-Command-Interface zugreifen zu k\u00f6nnen. Und das w\u00e4re nicht gerade einfach. Realistischer ist dagegen, dass ein Angreifer auf einen Server abzielt, der von Ihrer Bank-Webseite verwendet wird und mit einem Zugriff eine ganze Reihe Bankkonten pl\u00fcndern k\u00f6nnte.<\/p>\n

Was ist die #Bash-Sicherheitsl\u00fccke und warum betrifft sie uns alle?<\/p>Tweet<\/a><\/blockquote>\n

Die folgende Warnung des United States Computer Emergency Readiness Teams<\/a> fasst die Gef\u00e4hrlichkeit der Sicherheitsl\u00fccke wahrscheinlich am besten zusammen: \u201eDiese Sicherheitsl\u00fccke wird nach Branchenstandards als \u201ahoch\u2018 eingestuft, mit einem CVSS Impact Subscore von 10 und \u2019niedrig\u2018 bei der Komplexit\u00e4t, was bedeutet, dass es f\u00fcr deren Ausnutzung wenig Erfahrung braucht. Der Fehler erlaubt Angreifern, extra erstellte Umgebungsvariablen zu verbreiten, die eigenm\u00e4chtige Befehle enthalten, die auf anf\u00e4lligen Systemen ausgef\u00fchrt werden k\u00f6nnen. Die L\u00fccke ist besonders gef\u00e4hrlich, da die Bash-Shell so weitverbreitet ist und sie von vielf\u00e4ltigen Arten von Programmen aufgerufen werden kann.\u201c Dass der Bash-Fehler als hochgef\u00e4hrlich eingestuft wird und leicht auszunutzen ist, unterscheidet ihn ebenfalls von Heartbleed, der zwar ebenfalls hochgef\u00e4hrlich, aber nur schwer auszunutzen war.<\/p>\n

Wie kann man sich sch\u00fctzen?<\/strong><\/p>\n

Das einzige, das Sie momentan f\u00fcr Ihren Schutz tun k\u00f6nnen (abgesehen davon, das Internet nicht zu nutzen), ist, alle Programm-Updates so schnell wie m\u00f6glich zu installieren, wenn diese verf\u00fcgbar werden. Bei Betriebssystemen auf Desktop-PCs und Laptops m\u00fcssen Sie auf die Entwickler und Hersteller warten, die entsprechende Patches ver\u00f6ffentlichen m\u00fcssen.<\/p>\n

Bei Routern, Modems und anderen Ger\u00e4ten gibt es leider keine allgemeing\u00fcltige L\u00f6sung. Voraussichtlich werden die Hersteller all dieser Ger\u00e4te Firmware-Updates ver\u00f6ffentlichen \u2013 so wie sie wollen und wann sie wollen. Diese Updates werden sich in den meisten F\u00e4llen nicht automatisch installieren, wie es bei Updates f\u00fcr Programme und Betriebssysteme der Fall ist.<\/p>\n

Ein weiteres Problem ist laut den Kaspersky-Experten, dass Bash so vielseitig einsetzbar ist und in so vielen unterschiedlichen Varianten genutzt wird, dass Patches zwangsl\u00e4ufig immer zu kurz greifen werden. Das Schlie\u00dfen der Bash-Sicherheitsl\u00fccke wird daher ein langwieriger Prozess mit viel Herumprobieren sein. Und genau deshalb charakterisieren zahlreiche Forscher und viele Medien die erste Runde der Bash-Patches als \u201enicht komplett\u201c.<\/a><\/p>\n

Ein weiteres Problem, das ich noch ansprechen m\u00f6chte ist, dass *nix-Systeme \u00fcberall zu finden sind, und deshalb ist auch Bash \u00fcberall zu finden. Es wird zweifelsohne immer Maschinen geben, auf denen Bash l\u00e4uft und die nicht aktualisiert werden k\u00f6nnen. Es wird auch immer Maschinen geben, auf denen Bash l\u00e4uft, ohne dass es jemand wei\u00df.<\/p>\n

Wie Robert Graham von ErrataSec in seinem lesenswerten Blog schrieb<\/a>, ist \u201edie Zahl der Systeme, die aktualisiert werden m\u00fcssen, aber nicht aktualisiert werden, gr\u00f6\u00dfer als bei Heartbleed.\u201cUnd laut Graham sind nach wie vor Hunderttausende Webseiten anf\u00e4llig f\u00fcr OpenSSL Heartbleed<\/a>, und das Monate nachdem die entsprechenden Patches ver\u00f6ffentlicht wurden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bash-Sicherheitsl\u00fccke, die Unix-, Linux- und OS-X-Systeme betrifft, macht Schlagzeilen als neueste Internetbedrohung \u2013 und viele Experten halten sie f\u00fcr gef\u00e4hrlicher als die Heartbleed-L\u00fccke.<\/p>\n","protected":false},"author":42,"featured_media":4034,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,10],"tags":[109,1181,976,938,34,1653,260,1182],"class_list":{"0":"post-4032","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-tips","9":"tag-apple","10":"tag-bash","11":"tag-heartbleed","12":"tag-linux","13":"tag-os-x","14":"tag-security","15":"tag-sicherheitslucke","16":"tag-unix"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/was-ist-die-bash-sicherheitslucke-und-warum-betrifft-sie-uns-alle\/4032\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apple\/","name":"Apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4032","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=4032"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4032\/revisions"}],"predecessor-version":[{"id":22861,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4032\/revisions\/22861"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/4034"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=4032"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=4032"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=4032"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}