Pale Moon: Archiv-Server gehackt

Bevor es bei mir untergeht: Der Archiv-Server des Pale Moon-Projekts wurde gehackt. Anschließend wurde Malware über diesen Server verbreitet. Vielleicht für Nutzer des Pale Moon-Browsers von Interesse. Der Hack ist im Dezember 2017 passiert und wurde erst jetzt entdeckt (nachdem ein weiterer Hack den Server unbrauchbar machte). Hier die Details – die ich 'stückweise' veröffentlichen musste.


Anzeige

Das Eingeständnis des Hacks

Der Verantwortliche des Pale Moon-Entwicklerteam hat die Information am 10. Juli 2019 in diesem Post öffentlich gemacht. Hier die wichtigsten Passagen in Deutsch.

Es gab einen erfolgreichen Hack des Archivserver s(archive.palemoon.org), bei dem versucht wurde, das Projekt zu sabotieren. Beim Hack wurden alle archivierten ausführbaren Dateien auf dem Server mit einem Trojan/Virus-Dropper infiziert.

Die Information wurde als Post-Mortem-Bericht veröffentlicht, da das Entwickler-Team gegenüber der Community volle Transparenz geben möchte, was passiert ist. Es soll offen gelegt werden, welche Dateien betroffen waren, was Nutzer tun können, um ihre Downloads zu überprüfen und was getan wird, um solche Verletzungen in Zukunft zu verhindern. Allerdings liegen noch einige Dinge im Dunkeln. 

Was ist genau passiert?

Ein Angreifer erhielt Zugriff auf den damals Windows-basierten Archivserver (archive.palemoon.org) des Projekts. Der Server war bei Frantech/BuyVM angemietet. Auf dem Server wurde ein Skript ausgeführt, um selektiv alle darauf gespeicherten archivierten Pale Moon.exe-Dateien (Installer und portable selbstentpackende Archive) mit einer Variante von Win32/ClipBanker.DY (ESET-Bezeichnung) zu infizieren.

Wer diese infizierten ausführbaren Dateien unter Windows startet, dem wird ein Trojaner/ eine Backdoor auf dem System abgelegt. Über die Backdoor kann das System möglicherweise weiter kompromittiert worden sein.


Anzeige

Der Vorfall wurde den Entwicklern, laut Aussage, erst am 9. Juli 2019 bekannt und diese haben sofort den Zugriff auf den Archivserver beendet, um eine mögliche weitere Verbreitung infizierter Binärdateien zu verhindern. Gleichzeitig begann eine Untersuchung, welche Auswirkungen das Ganze hat.

Wann passierte der Hack?

Gemäß den Zeitstempeln der infizierten Dateien wurden diese bereits am 27. Dezember 2017 um ca. 15:30 infiziert. Möglicherweise wurde dieser Zeitstempel verändert, aber anhand der Backups ist es wahrscheinlich, dass die Infektion damals passierte.

Das Problem: Die Entwickler haben nur begrenzten Zugriff auf die Logs, denn in einem weiteren Hack (möglicherweise von den gleichen Leuten) wurde der Archivserver am 26.05.2019 vollständig inoperabel gemacht. Ob bewusst oder unbewusst, bleibt mal dahingestellt.

Jedenfalls gab es Dateikorruption auf dem Server, so dass dieser sich nicht mehr booten lässt und auch keine Daten mehr abrufbar sind. Leider bedeutet das auch, dass zu diesem Zeitpunkt Systemprotokolle mit genauen Angaben zum Hack verloren gegangen sind.

Der oder die Entwickler haben dann den Archivserver wieder auf einem anderen Betriebssystem (Wechsel von Windows auf CentOS) aufgesetzt. Gleichzeitig wurde der Zugriff von FTP auf HTTP geändert (da Linux FTP nicht einfach auf die gleiche Weise eingerichtet werden kann).

Noch ein paar Hintergrundinformationen

Im Posting schreibt man, dass die Dateien, nach den geänderten Zeitstempeln zu urteilen, in schneller Folge infiziert wurden. Die Dateigröße erhöhte sich um ca. 3 MB für den Trojaner als bösartiger Nutzlast. Die Modifikation erfolgte lokal auf dem System, höchstwahrscheinlich mit einem Skript, das direkte Dateioperationen durchführte. Die infizierten Dateien wurden nicht im infizierten Zustand remote hochgeladen. Interessant ist auch die Aussage, wie der Hack erfolgt sein musste:

  • Lokaler Zugriff auf das System (physischer Zugriff) oder
  • Zugriff auf die VM von einer anderen VM auf demselben Knoten (unzureichende Trennung), oder
  • Zugriff auf die VM von einer anderen VM im gleichen lokalen Subnetz über und unsichere/gehackte Remote-Desktop-Sitzung (unzureichende Trennung), oder
  • Zugriff auf das VM-Dateisystem über den administrativen Zugriff auf das Betriebssystem . (möglicherweise nach Brute-Force-Anmeldeinformationen) über das Netzwerk (z.B. SAMBA/WFS) (unzureichende VMnet-Trennung / keine Blockierung von FS-Ports im Node/DC), oder
  • Zugriff auf die VM durch Fernzugriff über das VM-Dashboard (unsicheres Bedienfeld des VM-Providers), oder
  • Ein Problem mit dem mitgelieferten Windows Server-Image (das voraktiviert/vom VM-Anbieter lizenziert wurde).

Im Post werden Remote-FTP-Zugriff, Remote-RDP-Zugriff und die Ausführung unsicherer Software auf der VM als potenzielle Angriffspunkte ausgeschlossen. Grund: Dieser Zugriff war zu jeder Zeit auf den Verantwortlichen des Projekts beschränkt und durch IP und mit sicherem, einzigartigem Passwortschutz gesperrt. Aus dieser Aussage schließt der Verantwortliche, dass die Remote-Sicherheit des Windows-Systems solide gewesen sei.

Wer ist betroffen?

Betroffen sind nur Leute, die archivierte ausführbare Dateien (Installer und portable selbstextrahierende Archive) von Pale Moon 27.6.2 und darunter heruntergeladen haben. Dies betraf auch alle archivierte Versionen von Basilisk auf dem gleichen Storage-Server.

Dies betraf nie einen der Download-Server von Pale Moon, und wenn man bedenkt, dass archivierte Versionen nur dann aktualisiert werden, wenn der nächste Release-Zyklus stattfindet, werden zu keinem Zeitpunkt aktuelle Versionen, egal von wo sie abgerufen werden, infiziert. Wer nie vom Archiv-Server .exe-Dateien oder selbstextrahierende Archive für Windows heruntergeladen hat, ist und war sicher.

Wie kann ich was prüfen?

Die meisten Versionen von Pale Moon (auch die Binärdateien) werden mit zugehörigen .sig-Dateien (pgp-Signaturen) geliefert. Damit lässt sich sicherstellen, dass die Dateien nicht manipuliert oder in irgendeiner Weise verändert werden. Allerdings gab es einen Zeitraum, in dem Code-Signatur aufgrund der Nichtverfügbarkeit zu vernünftigen Kosten für die Open-Source-Entwicklung nicht verwendet wurde.

Binärdateien lassen sich unter Windows durch einen Rechtsklick -> Eigenschaften -> Registerkarte "Digitale Signaturen" überprüfen. Wenn diese Registerkarte fehlt, dann ist die Binärdatei entweder nicht signiert oder wurde gegenüber dem Original geändert.

Spätere Versionen der archivierten ausführbaren Dateien werden auch mit einem SHA256 hash in der zugehörigen Datei "hashes.txt" ausgeliefert. Sie können die Integrität auch auf diese Weise über diese Pastebin-Datei überprüfen.

Darüber hinaus erkennen allen großen Antivirenanbieter die Infektion, so dass man die Downloads und die Systeme mit dem bevorzugten Antivirenscanner auf Infektionen prüfen kann. Was mich aber wundert ist der Umstand, dass diese Infektion solange nicht aufgefallen ist.

Der Pale Moon Entwickler schlägt vor: Wenn Sie versehentlich einen infizierten Installer oder einen portablen Self-Extracter haben, sollte man das System mit seriöser Antivirensoftware vollständig überprüfen und bereinigen lassen, um diese Malware zu entfernen. Mein Ratschlag: Wenn eine Infektion festgestellt wird, muss das komplette System neu aufgesetzt werden – denn das ist kompromittiert.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Pale Moon: Archiv-Server gehackt

  1. Teletom sagt:

    "…selektiv alle darauf gespeicherten archivierten Pale Moon.exe-Dateien…"

    Deswegen sollte man wohl immer, wenn irgend möglich, *.msi statt *.exe-Dateien installieren?

    • UnpopularOpinion sagt:

      Nein, man sollte immer die _digitale Signatur_ eines Downloads prüfen (sofern er eine hat). Sollte der Palemoon-Entwickler nicht signieren, so ist er leider ein DAU.

      Hat einen Grund warum ich nur offizielle Großprojekte wie Mozilla Firefox nutze. Klar gibt es da auch Pannen, aber seltener und weniger signifikant. Ich werde diese Meldung schön zitieren, wenn wieder einer diese "PC-Experten" mir raten sollte diese uralte, marode Codebasis von dem (ehemals) verseuchten Repo zu laden.

      PS: Notepad++ ist auch digital signiert. Da weiss man, das der Code auch vom echten Entwickler kommt. (signieren muss man natürlich auf einem gesichertem PC und seinen private Key schützen).

      Okay /rant-mode: "off"

      Allen ein schönes Wochenende!

      • ralf sagt:

        zu "Sollte der Palemoon-Entwickler nicht signieren, so ist er leider ein DAU":

        zahlen sie ihm die nicht unerheblichen kosten fuer das code signing certificate (DIGICERT: "Code Signing Certificates… As low as $474/year")? nein, wieso also diese anspruchshaltung (abgesehen von diesem komplett ueberfluessigen insult)?

        zu "Hat einen Grund warum ich nur offizielle Großprojekte wie Mozilla Firefox nutze… Notepad++ ist auch digital signiert. Da weiss man, das der Code auch vom echten Entwickler kommt":

        mehr aber auch nicht, denn eine signatur ist kein sicherheitsgarant wie der ccleaner-fail kurz nach uebernahme durch den sicherheitsspezialisten avast eindrucksvoll demonstriert hat: der installer der kompromittierten version war signiert. – uebrigens: der notepad++-entwickler, don ho, hatte die signatur neulich aus seinem projekt entfernt nachdem das sponsoring des zertifikats ausgelaufen war:
        https://notepad-plus-plus.org/news/notepad-7.6.4-released.html
        mittlerweile wird er diesbezueglich wieder durch digicert gesponsort.

        • UnpopularOpinion sagt:

          Es gibt günstige / kostenlose Certificate Authorities.

          Es gibt GnuPG / GPG, das vollkommen gratis ist.

          Youtube-dl schafft es ja auch ihre releases zu signieren:
          https://ytdl-org.github.io/youtube-dl/download.html
          (siehe Seitenende)

          Keine Signaturen? Kein Mitleid.

          • ralf sagt:

            zu "Es gibt günstige / kostenlose Certificate Authorities. Es gibt GnuPG / GPG, das vollkommen gratis ist":

            signaturverfahren ist nicht signaturverfahren: eine gpg-signatur ist kein code signing certificate. eine gpg-signatur ist NICHT fest in die anwendung integriert, erfordert den download des oeffentlichen schluessels des herausgebers, den download der signatur der zu pruefenden datei und die installation eines pruefprogramms (gpg4win). und nachdem eine anwendung diese pruefung bestanden hat, gilt sie dem betriebssystem immer noch als unsigniertes laborat eines unbekannten herausgebers. der gewoehnliche windows user wird das erfahrungsgemaess nicht nutzen.

            ja, es gibt guenstigere code signing certificates, aber auch die sind nicht guenstig. zudem hapert es bei free and open-source softwareprojekten auch daran, dass ihnen in der regel keine firma zugrundeliegt – BLEEPINGCOMPUTER (April 1, 2019): "In March, Notepad++ developer Don Ho stated that after a donated code signing certificate had expired, he had problems registering a new certificate under the 'Notepad++' name as it does not exist as an organization or a company. Due to this process and exorbitant prices of code signing certificates, he stated that Notepad++ would no no longer be signed going forward."

          • ralf sagt:

            gerade ausprobiert:

            * palemoon-28.6.0.1.win32.installer.exe und palemoon-28.6.0.1.win64.installer.exe sind mit einem code signing certifice signiert (gueltigkeit: 07.03.2019-08.03.2023)

            * es gibt gpg-signaturen

            * und sha-256-hashes.

            https://www.palemoon.org/download.shtml

          • daniel sagt:

            @UnpopularOpinion
            man sollte nicht über andere herziehen wenn man das Thema nicht kennt – in Deinem Fall ist aus Deiner Aussage klar ersichtlich, dass Du die Unterschiede von Code Signing und anderem Signing nicht kennst.

            Es gibt leider keine "billige" Code Signing Zertifikate die problemlos funktionieren und diese Kosten sind für nichtkommerzielle Projekte nicht zu vernachlässigen

            Im übrigen ist der Nutzen von Code Signing effektiv fraglich, da diese im Endeffekt nur sicherstellt, dass der Code nicht nachträglich verändert wurde – dies lässt sich jedoch auch gratis mittels einer sicheren Checksum gewährleisten.
            Als Firma besteht einfach der Druck für CodeSigning damit der Anwender nicht "unknown Publisher" zu sehen bekommt – abgesehen davon gibt es keine Einschränkungen (ausser bei 64-bit Device Treiber)
            Gewisse Plugins müssen signiert sein, damit sie überhaupt geladen werden können.

      • Steter Tropfen sagt:

        Einfach so ins Blaue geschossene Vorurteile werden davon nicht wahrer.

        Meines Wissens sind die Palemoon-Dateien signiert. Jedenfalls hat der Chef-Entwickler neulich gewarnt, ein vom User durchgeführter Patch der Palemoon.exe (wegen des Programm-Icons – gegen das neue, blass und unscheinbar, laufen momentan viele Anwender Sturm) würde die Signatur der Datei zerstören.

        Und die Behauptung „uralte, marode Codebasis" ist nun wirklich komplett neben den Tatsachen. Lieber nicht nochmal sagen, wenn Sie sich nicht bis auf die Knochen blamieren wollen. An Palemoon arbeitet eine Handvoll Entwickler und hält den Code up-to-date. Ginge auch nicht anders – sonst wäre Palemoon längst ein zweiter Seamonkey.

        Also lieber nicht von DAU sprechen: Wer solche Urteile in den Raum stellt, gerät leicht selbst in deren Schatten.

        • UnpopularOpinion sagt:

          Stand Februar 2018:
          "The current version of Pale Moon is based on Firefox 38 ESR, which was originally released in 2015. "
          > 3++ JAHRE ALTER CODE

          Daran wird sich _nichts_ in 2019 geändert haben, da Pale Moon sich von der uralt XUL-Api dauerhaft abhängig gemacht hat, um die selbe Funktionalität wie der alte Firefox zu wahren.

          Wie man zur ESR (auch der "aktuellen" und offiziellen) stehen sollte hat Felix von Leitner bereits klar gemacht:
          https://blog.fefe.de/?ts=a22fdf3d

          Sorry das ich einem (echten) Fachmann für IT-Sicherheit mehr glaube als Ihnen ;)
          Siehe: https://www.codeblau.de/references.html

          PS: Warum prüft denn keiner die Signaturen vor der Installation? Wer Pale Moon verteidigt demaskiert sich selbst.

          Chapeau!

          • Steter Tropfen sagt:

            Ach ja, die alten Halbwahrheiten.
            „3++ Jahre alter Code" – na und? Es ist ja nicht alles falsch, was vor mehr als 3 Tagen programmiert wurde. Das heißt aber sicher nicht, dass dieser Code seither nicht in vielen Bereichen geändert wurde.

            Aber was soll ich mir mit meinem Halbwissen die Mühe machen – am besten, Sie lesen direkt an der Quelle nach, nämlich die Stellungnahmen der Entwickler im Palemoon-Forum https://forum.palemoon.org. Das ist aktueller als Ihr (vermeintlicher) Wissensstand von vor 1½ Jahren oder irgendwelche Seiten von Selbstdarstellern (derartiges bietet das Internet genug, damit könnte man jede beliebige These „belegen").

          • daniel sagt:

            @UnpopularOpinion
            es kann sich jedermann Fachmann schimpfen.

            Kontrolliere einfach mal deren X509 CA Zertifkat:
            SHA1 signiert
            Datum abgelaufen

            Stand der Technik wäre SHA2

  2. Hansi sagt:

    Ich teste momentan Pale Moon und Waterfox als Alternative zu Seamonkey, weil der schon lange kein Update mehr erhalten hat, und die SeaMonkey-Community Schwierigkeiten hat, nachdem sie von Mozilla mehr oder weniger rausgeschmissen wurden. Aber mal schauen, es wird tatsächlich an einem neuen SeaMonkey-Release gearbeitet, zieht sich halt nur etwas hin.

    https://seamonkeyde.wordpress.com/2019/06/18/neues-inoffizielles-deutsches-sprachpaket-fuer-aktuelle-seamonkey-2-53-2/

    https://wiki.mozilla.org/SeaMonkey/StatusMeetings/2019-06-30

    • Steter Tropfen sagt:

      Ein Aspekt zum Testen:
      Mozilla hat mit seinem neuen Erweiterungs-Modell allen Forks die Grundlage entzogen. Die angebotenen AddOns bis hin zu Sprachdateien sind nicht mehr kompatibel, die bisherigen Versionen wurden bei Mozilla strikt entfernt. Die Folge: Wollen Seamonkey oder Waterfox jemals ein Update und funktionierende Erweiterungen anbieten, müssen sie auf die neue Firefox-Codebasis Quantum umsteigen – mit allen verbundenen Nachteilen.

      Palemoon bekam beizeiten eine unabhängige Engine und hat schon vor längerem begonnen, kompatible AddOns zu pflegen und zu hosten. In der Community steckt deutlich Leben drin.
      Sofern die Macher nicht vom grassierenden Entwickler-Blues (vergleichbar mit https://betanews.com/2019/04/01/linux-mint-depressed) überwältigt werden (ihr derzeitiges Gebaren im Palemoon-Forum gibt zu solcher Sorge Anlass), dann dürfte Palemoon von allen Firefox-Alternativen die besten Zukunftsaussichten haben.

      • deoroller sagt:

        Die Entwickler bei Mozilla wollen Quantum und was die anderen wollen, die sich an ihrem Code bedienen und möglichst ohne Aufwand ihren "eigenen" Browser veröffentlichen wollen, weil sie meinen, das Erbe von Netscape oder von wem auch immer zu bewahren, interessiert nicht.
        Wenn die Manpower fehlt, aber ein Haufen Ideologie bewahrt werden soll, kann denen keiner helfen. Damit kann man niemanden ernähren.
        Die Forks haben einen verschwindend geringen Marktanteil, dass sich der Aufwand für Mozilla nicht lohnt, irgendwas außer der Reihe für sie zu machen. Mozilla muss zusehen, dass sie ihren Marktanteil halten, um Kohle von Google zu bekommen. Wenn SeaMonkey, Waterfox, Palemoon, Vivaldi oder wie sie alle heißen, bei Google Geld für die Voreinstellung der Suchmaschinen haben wollen, werden sie ausgelacht.
        Mozilla wäre schon lange am Ende, wenn sie einer Browsersuite die Treue gehalten hätten, die schon vor 15 Jahren im Begriff war, in der Bedeutungslosigkeit zu verschwinden, bevor es Google Chrome gab.

        • Steter Tropfen sagt:

          Palemoon kriegt Geld von DuckDuckGo, weil sie diese Suche als Voreinstellung haben. Ich weiß nicht, ob da jemand gelacht hat. Google ist wirklich nicht das Maß aller Dinge!

          Der Marktanteil solch kleiner Browser wird leicht unterschätzt, weil die gezwungen sind, sich beim Seitenaufruf mit der Kennung gängiger Browser auszuweisen. Andernfalls verweigern manche Seiten (insbesondere aus dem Google-Imperium) pauschal die Funktion.

          Ob es bei freier Software die richtige Sichtweise ist, anderen vorzuhalten, sie würden sich „an fremdem Code bedienen und möglichst ohne Aufwand ihre eigene Software veröffentlichen", bezweifle ich. Genau dies ist doch die Idee des Ganzen.
          Dass Mozilla irgendwas für diese Forks tun soll, erwartet bestimmt keiner. Es ist aber nun mal so, dass mit Quantum der Großteil dessen, was die _Anwender_ mal am Firefox besonders geschätzt haben, nicht mehr möglich ist: Anpassbarkeit so minimal wie bei Chrome, zahlreiche Erweiterungen mit einem Schlag irreparabel tot. – Muss man nicht mögen, oder?

          • Rainer Friedrich sagt:

            Wobei ich selbst bei Erweiterungen inzwischen skeptisch bin. Zum einen sollten die gut gepflegt werden und zum anderen verschwinden auch mal welche. Habe seit vielen vielen Jahren TB und FF, beim TB hatte ich einen Attachmentabspalter, den gab es irgendwann nicht mehr aktuell. Jetzt mache ich das zum einen mittels Claws-Mail und einem PowerShell-Skript halt selbst. Genauso gab es ein Exchange-AddOn, das schlief dann ein, wegen der Umstellung der API, danach wurde der Autor krank (wohl eine Ein-Mann-Entwicklung), jetzt machen dann doch andere weiter. Dann gab es einen Phrasenersetzer, der schlief ein, was für mich sehr ungut war, dann wieder von jemandem anderen, inzwischen habe ich für alle Fälle ein externes Tool dafür. Bei TB habe ich inzwischen nur noch wenige Add-On. Bei FF fast keine mehr, u.a. LastPass (gehe davon weg), uBlock Origin und einen "Screensaver". Beim WoT gab es ja auch mal ein Theater, weil es erst aus dem Store entfernt wurde, dann war es wieder drin. Bei mir blieb es dann ganz weg, obwohl ich es eigentlich recht mochte.

  3. Rainer Friedrich sagt:

    Der Einbruch war wohl erst in 2019, mein Pale Moon aus 2018 ist nicht signiert, nur der Portablestarter ist es, soweit ich gestern auf die Schnell sah:

    https://forum.palemoon.org/viewtopic.php?f=1&t=22553&sid=840311e3865e0683cd1ef9fea9efea88

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.