Sicherheitsrisiko “GhostWriter: Fehlkonfiguration in AWS ermöglicht Malware-Attacken

Daniel Wolf,
Cybercrime Hacker (Bild: Shutterstock)

Unternehmen gehen bei Amazon S3 oft arglos mit der Konfiguration ihrer Speichercontainer um. Das ist gefährlich, denn uneingeschränkte Schreibrechte ermöglichen Man-in-the-Middle-Attacken. “GhostWriter” nennt sich dieses neue Angriffsszenario.

Cloud Services werden immer beliebter. Das macht sie auch zum attraktiven Ziel für Hacker. Erst vor Kurzem wurde bekannt, dass der Fahrdienstanbieter Uber Opfer eine Cyber-Attacke geworden war. Daten von 57 Millionen Fahrgästen und 7 Millionen Fahrern wurden gestohlen. Sie lagen auf einem Cloud-Server eines Drittanbieters.

Daniel Wolf (Bild: Skyhigh Network)
Daniel Wolf, der Autor dieses Gastbeitrags für silicon.de, ist Regional Director DACH bei Skyhigh Networks (Bild: Skyhigh Networks) (Bild: Skyhigh Network)

Was viele Unternehmen verkennen: Sicherheitslücken in IaaS-Diensten entstehen oft nicht durch Verschulden des Cloud-Anbieters, sondern durch eigene Fehlkonfiguration. So auch im Falle des neuen “GhostWriter”genannten Szenarios, das der Cloud-Sicherheitsspezialist Skyhigh Networks entdeckt hat. Es birgt sogar noch gravierendere Risiken als Datenverlust. Denn Cyberkriminelle können Inhalte manipulieren und Man-in-the-Middle-Angriffe durchführen.

GhostWriter nutzt eine Fehlkonfiguration im Amazon Web Services-Dienst S3 aus. Dieser arbeitet mit Speichercontainern, sogenannten Buckets, in denen Unternehmen Daten ablegen und über die Cloud zur Verfügung stellen können. Solche S3 Buckets kommen heute in einer Vielzahl von Web Services zum Einsatz, zum Beispiel bei Nachrichtenportalen, Online-Shops oder Weiterbildungsangeboten.

Besondere Vorsicht ist beim Rechtemanagement der Speichercontainer geboten. Ermöglichen sie uneingeschränkten Schreibzugriff, dann können beliebige Anwender Inhalte verändern und überschreiben. So haben Hacker Gelegenheit, unbemerkt Malware einzuschleusen Noch gab es zum Glück keine bekannten Vorfälle. Es ist jedoch nur eine Frage der Zeit, bis Cyberkriminelle diese Sicherheitslücke ausnutzen.

Ein Angriff mit großer Wirkung

Eine GhostWriter-Attacke kann weitreichende Folgen haben. Denn die eingeschleuste Schadsoftware befällt nicht nur die eigenen Systeme, sondern auch alle, die auf den infizierten Bucket zugreifen. Bei einem beliebten News-Portal oder Werbe-Dienst hätte das innerhalb von kürzester Zeit einen riesigen Schneeballeffekt. Ein idealer Weg also für Hacker, um Malware schnell und großflächig zu verbreiten.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

zum Whitepaper »

Das Risiko lauert überall und ist beachtlich. Skyhigh Networks hat herausgefunden, dass Unternehmen im Durchschnitt auf mehr als 1600 S3 Buckets von Drittanbietern zugreifen. Vier Prozent dieser Buckets sind fehlkonfiguriert und dadurch anfällig für eine GhostWriter-Attacke. Darunter befinden sich Services von führenden und häufg genutzten News- und Medien-Seiten, großen Retail-Shops oder Cloud-Diensten.

Das Fatale daran: Anwender haben keine Möglichkeit, die Gefahr zu erkennen, die sich in den scheinbar vertrauenswürdigen Web Services versteckt. Auch herkömmliche Tools zum Schutz vor Malware greifen bei diesem Angriffsszenario nicht. Denn für sie sieht der Datenverkehr aus wie ein gewöhnlicher S3-Bucket-Zugriff.

So schützen Sie sich vor einem GhostWriter-Angriff

IT-Sicherheit (Bild: Shutterstock/Andrea Danti)

Was also können Unternehmen tun, um das Risiko für einen Angriff durch kompromittierte S3 Buckets zu minimieren? Sie müssen den Bucket-Zugriff aus dem Unternehmensnetzwerk genau kontrollieren und ähnliche Sicherheitsmechanismen anwenden wie auf herkömmlichen Web Traffic. Das gelingt mit einem Cloud Access Security Broker (CASB).

Aktuelle Lösungen verfügen bereits über Erkennungsmöglichkeiten für das GhostWriter-Szenario. Sie sorgen dafür, dass nur Daten aus S3 Buckets von Drittanbietern in das Unternehmensnetzwerk heruntergeladen werden, die sicher sind. Dabei arbeitet der CASB in drei Schritten. Zunächst identifiziert er alle externen S3 Buckets. Danach bewertet er sie anhand ihres Risikos für GhostWriter und setzt daraufhin Policy-basierte Aktionen um. So kann er zum Beispiel den Zugriff auf gefährdete Buckets blockieren.

Wer selbst S3 Buckets einsetzt, sollte diese daraufhin überprüfen, ob sie sicher konfiguriert sind. Besonders vorsichtig sein sollten Unternehmen, die Javascript oder anderen Code in ihren Buckets speichern. Denn Angreifer könnten solchen Code überschreiben und zum Beispiel für Drive-by-Attacken oder Bitcoin-Mining einsetzen. Aber selbst harmlose Bilder oder Dokumente lassen sich so manipulieren, dass sie Malware verbreiten.

IT-Sicherheit(Bild: Shutterstock)

Viele Anwender kennen sich jedoch nur unzureichend mit dem Rechtemanagement in AWS aus. Bei der Vielzahl von Buckets, die Anbieter von Web Services betreiben, ist es zudem schwer, den Überblick über jede einzelne Einstellung zu behalten. AWS stellt zwar Tools zur Verfügung, um die Konfiguration von S3 Policy-basiert zu managen.

Noch mehr Sicherheit bietet aber ein CASB. Er prüft in einem tiefgehenden AWS-Audit die Konfiguration der unternehmenseigenen S3 Buckets. Dabei berücksichtigt er einen umfangreichen Katalog an Policies.

Entdeckt er eine Anfälligkeit für GhostWriter, schlägt er sofort Alarm. Über Schnittstellen ist der CASB zudem direkt in S3 eingebunden und kann die Inhalte in den unternehmenseigenen Buckets auf Malware oder DLP-Verletzungen scannen. Das hilft Sicherheitsverantwortlichen dabei, kompromittierte Dateien zu erkennen und zeitnah Gegenmaßnahmen zu ergreifen.

Geteilte Verantwortung

Wenn es um Security bei IaaS geht, teilen sich Cloud-Anbieter und Anwender die Verantwortung. Zwar sichert der Cloud-Provider seine Hardware ab. Unternehmen sind jedoch selbst in der Pflicht, ihre S3 Buckets richtig zu konfigurieren. Dies sollten sie nicht auf die leichte Schulter nehmen – wie das GhostWriter-Szenario zeigt. Denn wenn man einem S3 Bucket uneingeschränkte Schreibrechte gibt, ist das ungefähr so, also würde man einem Passanten erlauben, den Code für die eigene Alarmanlage zu ändern und die Möbel zu verrücken. Das öffnet die Tür für ausgefeilte Malware-Attacken durch einen Man-in-the-Middle-Angriff.

Mit einem CASB können sich Unternehmen von zwei Seiten her absichern: indem sie die Konfiguration ihrer eigenen S3 Buckets überprüfen und gleichzeitig den Zugriff auf risikobehaftete Buckets von Drittanbietern blockieren. So minimieren sie die Gefahr für einen GhostWriter-Angriff erheblich – und kommen ihrer Sicherheitsverantwortung nach.