Erster Accounthack mit Authenticator – Trojaner emcor.dll ist Schuld

Gestern machte die Meldung die Runde, dass der erste WoW-Account gehackt worden sei, der mit einem Blizzard-Authenticator geschützt wurde. Bei einigen löste dieser Accounthack trotz Authenticator große Verwunderung aus, die ich so gar nicht nachvollziehen kann.

Kropacius (Source): After looking into this, it has been escalated, but it is a Man in the Middle attack.
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
This is still perpetrated by key loggers, and no method is always 100% secure.

Das es praktisch kein Problem ist, auch diese Art von Sicherheitssystem zu umgehen, ist nichts neues. Stichwort ist hier der sogenannte „Man in the Middle“ Angriff, der die gesendeten Daten empfängt, eine gefälschte Fehlermeldung an den Sender zurück sendet und im Gegenzug seinerseits die korrekten Daten für seine Missbrauchzwecke an den eigentlichen Empfänger weiterleitet.

Zwar gibt es hier noch geringfügige Sicherheitsmechanismen, wie etwa eine begrenzte Dauer des Authenticator-Zahlencodes, jedoch, solange wie der eigentliche Code gültig ist, besteht auch die Gefahr, dass er in falschen Händen missbraucht werden kann. Darum sind Banken mittlerweile im iTan Verfahren dazu übergegangen, nach der Eingabe der Tan noch sogenannte Bestätigungsnummern zurück zusenden, damit erkannt werden kann, ob mit dem Bankrechner kommuniziert wurde. Sollten diese Bestätigungsnummern abweichen, muss natürlich umgehend die Bank informiert werden, um weitere Schritte einzuleiten. So einen Bestätigungsmechanismus gibt es beim Authenticator leider noch nicht.

Durch die begrenzte Dauer der Authenticator-Codes muss der Angreifer allerdings nach einem ganz speziellen Prinzip vorgehen: Er muss direkt mit den empfangenen Daten in die Accountverwaltung und das Passwort ändern und den Authenticator vom Account trennen, da sonst bei der nächsten Eingabe wieder nach einem Authenticator Zahlencode gefragt werden würde, den er Hacker nicht mehr eingeben kann. Nur so stellt er sicher, dass er mit einem neuen Passwort, ohne zusätzliche Authenticator-Eingabe einloggen, und somit den Account leer räumen kann.

Hier wäre der einzige Kritikpunkt, den sich Blizzard gefallen lassen muss: Hätten Sie beim sogenannten „Unattachen“ eines Authenticators, oder generell beim Ändern von Passwörtern, eine zweite Authenticatorabfrage nach dem eigentlichen Einloggen ins BattleNet eingefügt, wären Hacker ausgebremst worden, da der Hacker ja lediglich einen Code empfangen hat und ihm somit der zweite zum Ändern der Daten fehlt.

Eigentliche Schwachstelle ist und bleibt bei „Man in the Middle“ Angriffen jedoch weiterhin der Kundenrechner. Denn weiterhin ist ein Trojaner nötig, um dieses Keylogging zu ermöglichen. Einzige 100%ige Sicherheit würde ein Tokensystem mit Schlüsseldiskette oder Chipkarte, am besten mit ausgelagerter Tastatur (Chipkartenleser Klasse 2 oder höher), bieten, um so Keyloggern gar keine Angriffsfläche mehr zu bieten.

Trotz des vorliegenden Hacks, kann man aber weiterhin davon ausgehen, dass ein WoW-Account mit Authenticator wesentlich sicherer ist, als ein Account ohne Authenticator. Denn mit Authenticator muss der Account binnen Minuten leer geräumt werden, was voraussetzt, das am anderen Ende der Leitung Menschen sitzen, die nur darauf warten, das jemand, der mit dem Virus infiziert ist, endlich beginnt WoW zu spielen. Ohne Authenticator werden die Login Daten einfach gespeichert und können so auch noch Monante später benutzt werden (sofern die Passwörter nicht geändert wurden). Der Aufwand mit Authenticator ist also für den Hacker weit höher, als ohne.

Ich persönliche halte diesen Hack nur für einen Test, da sich das Aufwand/Reward Verhältnis für den Hacker einfach nicht lohnt. Es sei denn, das aus irgendeinem Grund WoW-Accounts mittlerweile mehr wert wären, als Kreditkartennummern und Kontodaten, was ich mir irgendwie nicht vorstellen kann.

Ihr solltet übrigens Eurer System mal nach der Datei emcor.dll durchsuchen, da dies genau der (derzeit einzige) Virus ist, der den Authenticator umgehen kann. Meistens befindet sich dieser Virus im Pfad C:\Users\(Dein User-Name)\AppData\Temp

Streamer/YouTuber/Redakteur at Myself
Jahrgang '79, seit Ende der '80er nerdiger Gamer. Absolvierte die Ausbildung zum Editor bei der Computec Media AG (PC Games) in Fürth. Kommunikationsdesigner durch die School of Life, Streamer und YouTuber aus Leidenschaft! Google+