F

Sicherheitslücken im Proxy-Server: So nutzen Cyberkriminelle Schwachstellen aus

Proxy-Server schützen Anwender im Netzwerk. Cyberkriminelle versuchen diese zu umgehen, indem sie andere Ports oder Security-Lücken ausnutzen.

Die Redewendung „Proxy-Server umgehen“ kann mehrere Bedeutungen haben. Es kommt darauf an, wie der Proxy-Server eingesetzt wird. Um den Rahmen dieses Artikel nicht zu springen, konzentrieren sich die Erläuterungen auf HTTP- und HTTPS-Proxies. Allerdings lässt sich die Vorgehensweise grundsätzlich auch auf andere Protokolle übertragen.

Unternehmen verbinden ihre Angestellten oftmals über Proxy-Server mit dem Internet. Diese Proxies sind ein zentraler Kontrollpunkt für die Filterung und Analyse, um Mitarbeiter bei Bedarf am Besuch unsicherer Websites zu hindern. Aus Performance- Sicht sind Proxies in der Regel ebenfalls positiv, da sie Web-Inhalte cachen. Um einen Proxy-Server zu umgehen, gibt es nun verschiedene Möglichkeiten.

Zunächst erlauben eine ganze Reihe von Firmen-Netzwerken mit Outbound-Proxies, dass HTTP und HTTPS in beide Richtungen gesendet werden können. Entweder durch den Proxy selbst oder einen Desktop-PC, wodurch der Proxy vermieden wird. Viele Unternehmen erlauben diesen Proxy-/Nicht-Proxy-Zugriff, da einige Anwendungen zwar mit HTTP, aber nicht mit Proxies umgehen können (zum Beispiel Java Applets). Um dieses Problem zu vermeiden, lassen sich transparente Proxies in einem Netzwerk einsetzen, statt dass ein Internet-Zugriff ohne Proxy erlaubt wird.

Auch wenn Unternehmen HTTP- und HTTPS-Zugriffe ohne Proxy komplett blockieren, kann ein Angreifer einen Proxy-Server immer noch auf verschiedene Arten umgehen. Um auf eine verbotene Website Zugriff zu erlangen, könnte er die URLs in einem anderen Format angeben. Denkbar ist eine hexadezimale Darstellung von ASCII  anstelle der „normalen“ Schreibweise. Somit würde aus einer beliebigen Website-Adresse zum Beispiel folgendes: %77%77%77%2e%66%6f%72%62%69%64%64%65%6e%73%74%75%66%66%74%6f%61%76%6f%69%64%2e%63%6f%6d. Ein Angreifer könnte zudem versuchen, die IP-Adresse anstelle des Domäne-Namens oder Unicode anstatt der „Hex“-Darstellung zu nutzen. Es gibt hunderte Möglichkeiten und einige funktionieren mit diversen Proxies.

Proxies mit anderen Protokollen umgehen

Für den Filter zu umgehen, kann ein Angreifer auch ein anderes Protokoll verwenden. Eine Option ist es, Websites via E-Mail wiederzufinden. Diese Services finden Sie an verschiedenen Stellen im Internet, wie zum Beispiel web2mail.com. Ein Abonnent schickt eine URL per E-Mail an den Service. Der Server holt sich die Website und schickt diese via E-Mail zurück. Hat der Anwender einen E-Mail-Client, der HTML darstellen kann, hat er den Proxy umgangen. Die meisten E-Mail-Clients heutzutage haben HTML aktiviert.

Zudem ist es möglich, dass man den nach außen gehenden Proxy eines Unternehmens verwendet, um damit einen weiteren Proxy-Server anzusprechen. Dieser hat unter Umständen keine Einschränkungen. Der erste Proxy erkennt nur die Verbindung zum zweiten.

Dies sind nur einige der populärsten Methoden, um Proxies zu umgehen. Was ist aber, wenn das Ziel des Angreifer gar nicht das Aushebeln der Proxy-Filter ist, sondern wenn er „nur“ ausgehende Daten stehlen möchte, die HTTP oder HTTPS nutzen. Ein Cyberkrimineller könnte eine Spyware innerhalb des Firmen-Netzwerks und außerhalb auf eine Website betreiben. Anschließend könnte er darauf warten, dass jemand interne Daten auf einen externen Server sendet. Die einzige Hürde ist der Proxy. In diesem Szenario kontrolliert der Angreifer Client und Server. Er müsste lediglich versuchen, einen anderen TCP-Port auszuprobieren oder ein Tool verwenden, das einen Datentunnel durch den Proxy erstellt.

Eine weitere Verwendung von Proxy-Servern umfasst einen Inbound-Zugang - ein sogenannter „Reverse Proxy“. Diese Architektur stellt schützende Filter, Analyse- und Authentifizierungs-Optionen für einen Webserver zur Verfügung. Um diese Proxies zu umgehen, verlassen sich Angreifer möglicherweise auf Nicht-Standard-Ports oder Tunnel-Technologien. Natürlich ist es auch denkbar, den Proxy selbst anzugreifen.

Diverse Proxy-Technologien sind mit Problemen behaftet, die durch Konfigurationsfehler oder Buffer-Overflow-Schwachstellen ausgelöst wurden. Angreifer können diese Security-Lücken nutzen und somit den Proxy direkt adressieren. Eventuell lässt sich dieser von den Cyberkriminellen neu konfigurieren, womit er uneingeschränkten Zugriff auf geschützte Server erhält.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close