Viagra-Server bei Microsoft

Von am 14. Oktober 2010 1 Kommentar 

Die Russen übernehmen Redmond

Microsoft musste das peinliche Eingeständnis machen, dass zwei Server im eigenem Unternehmensnetzwerk von einer berüchtigten russischen Gang übernommen wurden, bekannt für das Verticken von Viagra, Wachstumshormonen und ähnlichen Wundermitteln. Über IP-Adressen bei Microsoft lief der Traffic zu über 1.000 Websites von Canadian Health&Care Mall, das als Betrugsunternehmen gilt.

Nach Ermittlungen des Sicherheitsforschers Ronald F. Guilmette wurden Microsofts IP-Adressen mindestens seit dem 22. September für diesen Zweck missbraucht. Wie Brian Krebs von KrebsonSecurity berichtet, kamen sie außerdem am 23. September im Rahmen einer Denial-of-Service-Attacke gegen seine Website zum Einsatz. Er hatte rund 24 Stunden zuvor über eine kriminelle Gang berichtet, die online Kreditkarten von Mastercard und Visa zum Schleuderpreis von jeweils 2 US-Dollar anbot. Der Angriff unter Beteiligung mindestens eines Microsoft-Servers ließ sich zurückführen auf Botnets unter Kontrolle „der üblichen russischen Pillen-Gangs“. Insgesamt waren einige Hunderttausend Computer daran beteiligt, die den kritischen Bericht mit bis zu 3 GB Schrott-Daten in der Sekunde unter Beschuss nahmen.

Es sollte noch ein paar Wochen dauern, bis Microsoft die kompromittierten Geräte vom Netz nahm. Tatsächlich reagierte Microsoft erst, nachdem The Register am 12. Oktober berichtete, dass die Viagra-Dealer ihren offiziellen Domain-Name-Server über eine IP-Adresse bei Microsoft betrieben. Einen Tag später ließ Microsoft in einer knappen Erklärung verlauten:

„Wir haben unsere Untersuchung abgeschlossen und herausgefunden, dass zwei falsch konfigurierte Geräte in einem Testlabor aufgrund menschlicher Fehler kompromittiert wurden. Diese Geräte sind entfernt worden und wir können bestätigen, dass weder Kundendaten kompromittiert noch Produktionssysteme beeinträchtigt wurden. Wir unternehmen Schritte, um besser sicherzustellen, dass in Testlabors eingesetzte Geräte, die aus dem Internet erreichbar sind, mit angemessenen Sicherheitssregularien konfiguriert sind.“

Die Pointe der Geschichte aber ist, dass es sich bei den kompromittierten Servern wahrscheinlich um Linux-Server handelte. Dafür spricht die Vorgehensweise der Pillen-Gangster in diesem und ähnlichen Fällen. Sie sind in der Sicherheitsbranche dafür bekannt, unzureichend gesicherte Linux- und Unix-Server für ihre Zwecke zu übernehmen.

Kein Linux-Administrator im Haus? Microsoft wird lernen müssen, dass nicht nur Windows-Server einer sicheren Administration bedürfen.

Abbildung: Robert Scoble / CC

Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • Facebook
  • Google Bookmarks
  • TwitThis



Kommentare

Eine Stellungnahme zu “Viagra-Server bei Microsoft”
  1. haha sagt:

    PR-Gag von M$? 😉