Unbekannte Hacker, vermutlich aus China, infizieren momentan weltweit Microsoft-SQL-Server- und PHPMyAdmin-Installationen mit versteckten Krypto-Miner-Skripten, wie 'Heise' berichtet. Die Opfer kostet das Rechenleistung und andere Ressourcen, die Angreifer verdienen sich Einheiten der Krypto-Währung Monero.

Entdeckt wurden die Angriffe von der amerikanisch-israelischen Sicherheitsfirma Guardicore Anfang April. Insgesamt konnte Guardicore bis zu 20 verschiedene Malware-Varianten ausmachen, mit denen die Hacker bis zu 700 Server am Tag infizieren. Knapp 50'000 Systeme etwa im Gesundheitssektor und von IT- und Medienunternehmen sollen bis jetzt betroffen sein.

In einem ersten Schritt verschaffen sich die Hacker per Bruteforce-Angriff auf schwache Passwörter Zugang zum Microsoft SQL Server auf dem System. Dann nutzen sie diesen Zugang, um ein VB-Skript auszuführen, das den Krypto-Miner auf dem System installiert, versteckt und ausführt.

Die Hacker nutzen eine alte Schwachstelle im Windows-Kernel (CVE-2014-4113, von Microsoft im Oktober 2014 gepatcht), um System-Rechte zu erlangen. In einigen Fällen fand ein ähnlicher Angriff über schwache PHPMyAdmin-Passwörter, ebenfalls auf Windows, statt.

Die Kernel-Schwachstelle wird mit einem Treiber ausgenutzt, der zum Zeitpunkt des Angriffes ein gültiges Verisign-Zertifikat besass, ausgestellt auf eine Firma namens Hangzhou Hootian Network Technology – bei dem Firmennamen handelt es sich um eine Fälschung. Das Zertifikat wurde nach einem Hinweis von Guardicore mittlerweile von Verisign zurückgezogen. (paz)