Cyberkriminelle nutzen offenbar liebend gern das Website-Verzeichnis /.well-known/, um ihre Malware darin zu verstecken. Darauf machen die IT-Sicherheitsexperten der PSW Group (www.psw-group.de) aufmerksam und verweisen auf entsprechende Erkenntnisse des IT-Sicherheitsunternehmen Zscaler.

Als Präfix von sogenannten well-known URIs verweisen solche Verzeichnisse in der Regel auf Informationen über den Host. Sie lassen sich via Web abfragen. Wird ein SSL-Zertifikat über Automatic Certificate Management Environment, kurz ACME, bestellt, nutzen die Systeme die Unterverzeichnisse /.well-known/acme-challenge/ oder auch ./well-known/pki-validation.

„Um beweisen zu können, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Prüfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen“, erläutert Christian Heutger, CTO der PSW Group, die technischen Hintergründe und ergänzt: „Weil Admins ansonsten aber so selten in dieses Verzeichnis hineinschauen, eignet sich ./well-known/ einschließlich aller Unterverzeichnisse gleichzeitig gut als Versteck für Malware.“

Hinzu komme, dass das Verzeichnis gut verborgen ist und somit nicht angezeigt wird. Wie ZScaler in seinem Unternehmens-Blog erklärt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie können Ransomware oder Malware enthalten oder aber auf verschiedene Phishing-Sites umleiten.

„Stieß ZScaler auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America“, ergänzt Heutger. Der IT-Sicherheitsexperte warnt: „Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor für Cyberkriminelle. Auch veraltete Joomla- und WordPress-Versionen sind gefährdet – insbesondere bei Verwendung von SSL-Zertifikaten mit ACME.“

Demnach haben beispielsweise die ZScaler-Forscher entdeckt, dass kompromittierte WordPress-Seiten insbesondere die Versionen 4.8.9 bis 5.1.1 verwenden. Wenngleich Admins ihre Website auch regelmäßig prüfen: Das Verzeichnis /.well-known/ gerät dabei häufig in Vergessenheit. „Normalerweise nutzen Admins den Kommandozeilenbefehl ls, um sich Dateien auflisten zu lassen. Dabei wird – ironischerweise aus Sicherheitsgründen – das well-known-Verzeichnis nicht dargestellt. Kein Wunder also, dass ein Website Hack oft unbemerkt bleibt“, so Heutger.

Dabei sei es gar nicht so schwer, die Site zu schützen: Website-Betreiber, die SSL-Zertifikate mit ACME verwenden, können das Verzeichnis /.well-known/ einschließlich aller Unterverzeichnisse einfach in ihre Sicherheitsüberprüfungen einbeziehen. „Dabei sollten sie unbedingt einen Blick in /.well-known/acme-challenge/ sowie in /.well-known/pki-validation/ werfen. Darin sollten sich ausschließlich die Zertifikatsdateien befinden“, rät der Experte.

Weitere Informationen gibt es unter www.psw-group.de/blog/website-sicherheit-analysten-entdecken-malware-im-well-known-verzeichnis/7008.

Dr. Jörg Schröper ist Chefredakteur der LANline.