2014-10-25 - Der Schock sitzt tief in den Knochen der Mailserver - Shellshock ist noch nicht vorbei.

Nach Informationen von heise Security stehen derzeit vermehrt Mailserver im Fokus der Cyber-Kriminellen, die durch Lücken im Mailserver auf die bash des Betriebsystems zugreifen wollen. Dabei übertragen sie speziell präparierte Mails an die SMTP-Server, in deren Headern an mehreren Stellen Shell-Befehle stecken, mit denen ggf. die  Shellshock-Schwachstelle ausgenutzt werden können. Auf einem ungeschützten System wird dieser Code unter Umständen ausgeführt, wenn der Mailserver eine Shell mit einem dieser Header-Werte ausführt – zum Beispiel, um die Metadaten der Mail an einen Spam-Filter weiterzugeben.

Seit geraumer Zeit existiert ein Exploit für Postfix, prinzipiell können aber auch andere Server wie qmail anfällig sein. Server-Betreiber sollten daher auf Nummer sicher gehen und die in der Bash klaffenden Lücken durch ein passendes Update schließen. Wie schon bei den Attacken auf Webserver versuchen die Angreifer auch im aktuellen Fall, eine Backdoor einzuschleusen. Infizierte Server melden sich in einem IRC-Channel, in dem sie auf weitere Instruktionen der Angreifer warten.