scip ag

Transcription

scip ag

scip ag
wenn diese Spezies zur Zeit von der
Öffentlichkeit
nicht
besonders
viel
Aufmerksamkeit bekommt. Als Reaktion auf die
Bombardierung der chinesischen Botschaft in
Belgrad durch die USA haben auch chinesische
Hacker mehrfach Webseiten amerikanischer
Institutionen angegriffen. Vorwiegend wurden
dabei Defacements durchgeführt. Bei diesem
Web-Graffiti wurden die Internet-Dokumente mit
Sprüchen und Parolen versehen. Da dies auf den
ersten Blick ein offensichtlicher Eingriff Dritter
war, konnten die betroffenen Organisationen
höchstens einen Image-Schaden verbuchen. Viel
schlimmer wäre das subtile Verbreiten von
Falschmeldungen gewesen.
Contents
1.
Editorial
2.
Neuerungen der scip AG
3.
Neue Sicherheitslücken
4.
Linktipps
5.
Buchtipps
6.
Fragen und Antworten
7.
Literaturverzeichnis
8.
Impressum
1.
Editorial
Es scheint, als hätten erst gerade mal wieder
einen der unzähligen Kriege überstanden, die der
Menschheit noch bevorstehen. Der zu einem
Medienspektakel aufgebauschte Event zeigte,
dass die vermeintliche „chirurgische Präzision“
des Tötens doch noch nicht so ausgereift ist, wie
man uns dies seit dem ersten Golfkrieg glauben
machen wollte. Krieg ist und bleibt ein dreckiges
Geschäft. In jeder Hinsicht? Nicht wirklich, darf
man den Science-Fiction Szenarien Glauben
schenken, die sich mit dem sogenannten CyberKrieg beschäftigen. Der Krieg am Computer, ein
Gedanke, der nicht nur unzähliche Buchautoren
und Filmemacher in ihren Bann gezogen hat
[Clancy et al. 2003].
Auch wenn dies gerne mit einem Lächeln als
Science-Fiction beäugt wird, ist es doch keine
reine Phantasie mehr. Kurz vor Ostern 1999
meldete die NATO juguslawische Angriffe aus
dem Internet. Die "Attacke", die von einem
Belgrader Computer ausging, war allerdings bei
genauerem
Nachlesen
lediglich
eine
Massensendung von tausenden Emails, die das
elektronische Postfach des Militärbündnisses für
andere
Besucher
mehrere
Tage
lang
unzugänglich machte. Ein störendes Ereignis für
die Betroffenen. Aber eine ernstzunehmende
Gefahr?
Laut dem offiziellen Wörterbuch des Pentagon
umfasst das Wort Informationskrieg "Aktionen,
die
unternommen
werden,
um
die
Informationsüberlegenheit zu erlangen, indem die
Informationen, informationsbasierten Prozesse,
Informationssysteme und computerbasierten
Netze beeinträchtigt werden, während die
eigenen Informationen, informationsbasierten
Prozesse,
Informationssysteme
und
computerbasierten
Netze
ausgenutzt
und
verteidigt werden.“
Dieses Propaganda-Denken ist nicht erst seit
dem Sturz von Saddam Hussein Wirklichkeit
geworden. Lächerlich anmutende InformationsKriege wurden schon zu Zeiten des zweiten
Weltkrieges geführt. Im Nachhinein können
Falschinformationen viel einfacher als falsch und
ihre Verbreitung als Lächerlich bezeichnet
werden. Das Täuschen des Volkes während
Krisenzeiten ist jedoch mittlerweile zu einer
wahren Kunst geworden – Es liegt an uns
Konsumenten, jeglicher Information kritisch zu
entgegnen. Die erste Frage, die man sich stets
zu stellen hat ist, wer von dieser Information, so
wie sie vorliegt, einen Vorteil erhalten könnte.
Sodann erkennt man, dass die Information nur
selten des Aufklärungswillen veröffentlicht wird.
Marc Ruef <[email protected]>
Security Consultant
Zürich, 10. Mai 2003
Politisierende Computerfreaks gibt es, auch
scip monthly Security Summary / April 2003
Marc Ruef
scip_mss-20030519.doc
Stand 19. Mai 2003
© scip AG
Druckdatum: 29.04.2014
News, Webseite
public
Seite 1/11
s c i p
2.
a g
Neuerungen der scip AG
2.3 Workshophinweise
2.1 Merkblatt Computerviren online
Es gibt einige grundlegende Gesetze, die im
Bereich der Computersicherheit unabdingbar
sind. Die scip AG stellt Ihnen auf der Webseite
Merkblätter zur Verfügung, die Ihnen die
Grundsätze kurz und prägnant zusammenfassen.
Das erste Merkblatt widmet sich dem Thema der
Computerviren. So werden darin die Fragen
beantwortet, wie man einem Virenbefall
vorbeugen kann, was auf einen Virenbefall
hindeutet und wie man sich bei einer
vermeintlichen Infektion verhalten soll.
Das scip AG Workshopportfolio finden Sie auf
der Firmenwebseite unter Dienstleistungen
http://www.scip.ch/dienstleistungen/workshops/
Mai 2003
27.05.2003
Vulnerability Assessment
28.05.2003
Log Management
Juni 2003
2.2 Workshop Datenbank online
Das gesamte öffentliche Workshopangebot der
scip
AG
ist
nun
aufrufbar
(http://www.scip.ch/dienstleistungen/workshops/).
Zur
Erleichterung
der
Navigation,
sind
Filterfunktionen vorhanden. Wir freuen uns
darauf, Sie an einem der nächsten Workshops
begrüssen zu können.
Marc Ruef
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 2/11
s c i p
3.
a g
Verbreitete Webbrowser und fester Bestandteil
moderner Windows-Betriebssysteme. Durch ein
speziell formatiertes HTML-Dokument kann der
Internet Explorer des Besuchers zum Absturz
gebracht werden. Ein proof-of-concept Exploit
wurde dem Bugtraq-Posting beigelegt. Microsoft
wird sehr wahrscheinlich in absehbarer Zeit mit
einem Patch reagieren.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener
Schwachstellen sowie zusätzliche
Sicherheitslücken sind unter
http://www.scip.ch/cgi-bin/smss/showadv.pl
publiziert.
3.1 Microsoft Internet Explorer Object
Denial of Service
Expertenmeinung:
Und schon wieder eine remote ausnutzbare
Schwachstelle im beliebten Internet Explorer. Ein
sehr gutes Beispiel dafür, dass ein Mehr an
Funktionalität stets auf die Kosten der Sicherheit
geht, denn welcher Programmierer kommt schon
mit der dadurch anwachsenden Komplexität
zurecht? Schade ist, dass wir, die Benutzer,
solchen Schwachstellen wehrlos ausgeliefert
sind. Es heisst also abwarten und Tee trinken,
bis wir einen neuen Patch einspielen dürfen.
3.2 Microsoft Windows Form Input Type
Denial of Service
3.3 Nokia IPSO WebGUI erweiterte
Leserechte
3.4 Microsoft Outlook Express MHTML
Eingabe Ungültigkeit
3.5 Cisco Secure Access Control Server
für Windows Admin Pufferüberlauf
3.2 Microsoft Windows Form Input
Type Denial of Service
3.6 Cisco Catalyst Enable Passwort
umgehen
Remote: Ja
Datum: 22 . April 2003
Patch: http://www.microsoft.com/
3.7 Microsoft Internet Explorer ActiveX
Plugin.ocx Heap Overflow
3.8 Microsoft Internet Explorer HTTP-
Rückantworten Pufferüberlauf
3.9 Mdaemon IMAP4 Pufferüberlauf
3.10 Mdaemon POP3 Denial of Service
3.11 Diverse Webbrowser HTML-Unicode
Denial of Service
3.12 Kerio Personal Firewall Pufferüberlauf
3.13 Mirabilis ICQ 2003 mehrere
Sicherheitslücken
3.14 Microsoft Internet Explorer DHTML-
Link Denial of Service
3.15 Microsoft .net Passport Passwörter
zurücksetzen
3.16 Microsoft Windows Media Player 7 und
8 Dateien hochladen
3.17 SAP Datenbank lokale Race-Condition
während Installation
3.1 Microsoft Internet Explorer Object
Denial of Service
Remote: Ja
Microsoft Internet Explorer ist der am meisten
Marc Ruef
In dem relativ kurzen Bugtraq-Posting weist der
Autor darauf hin, dass der Microsoft Internet
Explorer
mit
wenigen
Zeilen
normal
erscheinenden
HTML-Code
zum
Absturz
gebracht werden kann. Dabei wird ein Formular
erstellt, dessen Input-Type nicht existiert. Die
Applikation beendet sich sodann mit der
Fehlermeldung
"Unhandled
exception
in
iexplore.exe
(SHLWAPI.DLL):
0xC0000005:
Access
Violation".
Ebenso
von
dieser
Schwachstelle sind Microsoft Outlook, Frontpage
und alle anderen Windows-Programme betroffen,
die shlwapi.dll benutzen, um Web-Code
darzustellen. Kurze Zeit später meldete jemand
bei Bugtraq, dass auch explorer.exe auf
Windows XP dadurch zum Absturz gebracht
werden kann.
Expertenmeinung:
Zuerst dachten die Leser der BugtraqMailingliste, dass nur einmal mehr ein Fehler im
Internet Explorer entdeckt wurde. Das zweite
Posting liess alle jedoch aufhorchen, da auch
andere populäre Software (z.B. Outlook oder
Windows XP) von der Schwachstelle betroffen
sind.
Glücklicherweise
lassen
sich
die
Programme nur abstürzen und keine erweiterten
Rechte
erschleichen.
Trotzdem
gilt
es
schnellstmöglich den Patch zur Behebung dieser
Schwachstelle einzuspielen.
3.3 Nokia IPSO WebGUI erweiterte
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 3/11
s c i p
a g
Leserechte
Remote: Ja
Advisory:
http://www.securityfocus.com/archive/1
/319575
Patch: http://www.nokia.com/
Es wurde eine Leserechte-Verwundbarkeit im
IPSO-Betriebssystem von Nokia entdeckt. Wie
im Posting auf Bugtraq zu lesen ist, kann jeder
Benutzer, der sich mittels Voyager auf das
WebGUI verbinden kann, beliebige Dateien auf
dem Zielsystem lesen. Dazu ist lediglich die
Eingabe einer bestimmten URL nötig. Es gibt
momentan keinen Patch und keinen anständigen
Workaround. Es ist auch fragwürdig, ob es
jemals eine Lösung für dieses Problem geben.
Man sollte sich jedoch der Gefahr bewusst sein,
um die Risiken abschätzen zu können.
Expertenmeinung:
Auf Bugtraq wurde durch das Initial-Posting eine
interessante und hitzige Diskussion entfacht.
Einige meinten, dass diese Schwachstelle nicht
wirklich problematisch ist, da sich sowieso nur
vertrauenswürdige Benutzer mit dem WebGUI
verbinden dürfen. Kann man diesen nicht
vetrauen, sollte man ihnen auch keinen Zugriff
mittels Voyager ermöglichen. Dies mag zwar
stimmen, täuscht jedoch darüber hinweg, dass es
sich hier tatsächlich um eine ernstzunehmende
Schwachstelle handelt. Kann sich ein Angreifer
oder ein verärgerter Benutzer mit dem WebGUI
verbinden, kann er sensitive Informationen (z.B.
Passwort-Datei
oder
Konfigurations-Daten)
einsehen. Dies ist meistens der erste Schritt für
einen erfolgreichen Angriff.
3.4 Microsoft Outlook Express MHTML
Eingabe Ungültigkeit
Remote: Ja
Advisory:
http://www.microsoft.com/technet/treev
iew/default.asp?url=/technet/security/b
ulletin/MS03-014.asp
Patch:
MHTML steht für MIME Encapsulation of
Aggregate HTML, ein Internet-Standard, der die
MIME-Struktur (Multipurpose Internet Mail
Extensions) für den HTML-Inhalt von MailNachrichten definiert. Der MHTML URL-Handler
Marc Ruef
ist ein Teil von Outlook Express und erlaubt
durch die Spezifizierung von MHTML:// den
Aufruf
entsprechender
Dokumente.
Eine
Verwundbarkeit in diesem Handler erlaubt das
Darstellen eines jeden Dokuments innerhalb des
Internet Explorers. Ein Angreifer kann eine
bösartige URL versenden, die eine lokale TextDatei aufruft. Dieses Dokument wird sodann mit
den Rechten der lokalen Sicherheitszone
ausgeführt. Problematisch wird dies, wenn die
aufgerufene Datei ein Skript enthält. Der
Angreifer
kann
sodann
auf
sensitive
Informationen zugreifen. Microsoft hat zeitgleich
mit dem Publizieren ihres Advisories einen Patch
herausgegeben, den es zu installieren gilt.
Expertenmeinung:
Eine grosse Limitierung dieser Schwachstelle ist,
dass die darzustellende Datei schon auf dem
Zielsystem vorhanden sein muss. Ein mögliches
Szenario sieht jedoch so aus, dass dem Opfer
ein HTML-Dokument mit aktiven Inhalten
geschickt wird. Mit diesen Inhalten sollte der
Zugriff auf sensitive Informationen möglich sein.
Dies war jedoch nicht möglich, da die
Sicherheitseinstellungen des Internet Explorers
dies verhinderten. Da das HTML-Dokument
jedoch schon aufgerufen wurde, wurde es im
lokalen Festplatten-Cache des Webbrowsers
abgelegt. Der Angreifer schickt sodann ein Mail
mit dem MHTML-Link auf das HTML-Dokument
mit den aktiven Inhalten. Wird dieser Link
angeklickt, wird das HTML-Dokument erneut
dargestellt, jedoch dieses Mal mit den viel
niedrigeren
Sicherheitseinstellungen.
Der
Aufwand für das erfolgreiche Durchführen dieses
Angriffs
ist
zu
gross,
alsdass
diese
Schwachstelle grossflächig ausgenutzt werden
könnte. Trotzdem sollte man den Cumulativen
Patch von Microsoft einspielen.
3.5 Cisco Secure Access Control
Server für Windows Admin
Pufferüberlauf
Remote: Ja
Advisory:
http://www.cisco.com/warp/public/707/
cisco-sa-20030423-ACS.shtml
Patch: http://www.cisco.com/cgibin/tablebuild.pl/cs-acs-win
Cisco Secure ACS stellt ein web-basierendes
Interface namens CSAdmin zur Verfügung,
welches sich an den TCP-Port 2002 bindet. Es
wurde ein Pufferüberlauf in der Software
festgestellt, der während der Login-Prozedur
herbeigeführt werden kann. Das Resultat eines
solchen Angriffs ist eine Denial of Service-
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 4/11
s c i p
a g
Attacke
oder
das
Ausführen
beliebigen
Programmcodes.
Von
Cisco
wird
die
unverzügliche Installation des Patches, der das
Problem
beheben
soll,
empfohlen.
Grundsätzlich gilt es den TCP-Port 2002 vor
unerlaubten Zugriffen mittels Firewalling zu
schützen. Von dieser Pufferüblaufschwachstelle
sind nicht alle CSAdmin-Versionen betroffen.
Insbesondere die UNIX-Reihe des Produkts
weist diesen Fehler nicht auf.
Expertenmeinung:
Diese Schwachstelle ist ein klassischer
Pufferüberlauf. Login-Prozeduren dürfen ganz
besonders keine Pufferüberlauf-Schwachstellen
aufweisen, da diese für jeden zugänglich, einfach
zu finden und auszunutzen sind. Trotzdem wird
diese Sicherheitslücke eher weniger für Angreifer
in Frage kommen, denn die Verbreitung des
verwundbaren Systems ist doch nicht so hoch.
Relativ selten wird man im Internet über einen
Host stolpern, der eine CSAdmin-Schnittstelle zur
Verfügung stellt. Cisco ist es zudem gelungen,
diese Schwachstelle erst nach dem Erscheinen
entsprechender Patches publik zu machen. Es
liegt nun an den Administratoren und Benutzern,
den Bugfix einzuspielen und unerlaubte Zugriffe
auf dem CSAdmin-Port zu blockieren.
3.6 Cisco Catalyst Enable Passwort
umgehen
Remote: Indirekt
Datum: 24. April 2003
Advisory:
http://www.cisco.com/warp/public/707/
cisco-sa-20030424-catos.shtml
Patch: http://www.cisco.com/
Die Firma Cisco hat sich einen Namen mit ihren
Netzwerkelementen - Switches und Router gemacht. Eines dieser Switch-Produkte trägt den
Namen Catalyst und ist mit dem hauseigenen
Catalyst OS ausgestattet. Kann sich ein Angreifer
auf einem verwundbaren Switch lokal, mittels
Telnet oder SSH einloggen, ist es ihm ohne
weiteres möglich, erweiterte Rechte zu
erschleichen. Den Enable-Modus erreicht er
sodann ohne das Wissen um das EnablePasswort. Er sieht sich dadurch in der Lage, den
Switch
nach
belieben
umzukonfigurieren.
Rerouting-, Sniffing- oder Denial of ServiceAttacken sind eine mögliche Folge davon. Ein
Patch für die verwundbaren Versionen des
Catalyst OS sind bei Cisco erhältlich.
Expertenmeinung:
Angriffe auf Cisco-Elemente sind aufgrund ihrer
Verbreitung sehr beliebt. So kann man an dieser
Stelle von Glück sprechen, dass sich dieser
Marc Ruef
Remote-Angriff nur durchführen lässt, wenn auf
dem verwundbaren System ein Login bekannt ist.
Trotzdem sollte man die Zugriffe mit der ip
permit-Funktion limitieren und die nötigen
Patches einspielen, um möglichst wenig
Angriffsfläche zu bieten. Denn wer die RoutingElemente eines Netzwerks kontrolliert, der
kontrolliert das gesamte Netzwerk.
3.7 Microsoft Internet Explorer ActiveX
Plugin.ocx Heap Overflow
Remote: Ja
Advisory: http://www.ngssoftware.com/
Patch:
Der Microsoft Internet Explorer ist mit seiner
Verbreitung von schätzungsweise 95 % der
mitunter populärste Webbrowser der aktuellen
Stunde. Es wurde ein Heap Overflow im
Microsoft ActiveX-Element Plugin.oxc entdeckt,
der sich via Email oder Webseite ausnutzen
lässt. Dabei wird eine überlange Zeichenkette der
Load-Funktion übergeben. Da der Datei
Plugin.ocx das Sripting standardmässig erlaubt
ist, kann ein Angreifer beliebigen Programmcode
auf dem verwundbaren System ausführen.
Microsoft wurde am 13. Dezember 2002 über
diese Schwachstelle informiert. Entsprechend
sollte schnellstmöglich der bereitgestellte Patch
installiert werden.
Expertenmeinung:
Und schon wieder eine ernstzunehmende
Schwachstelle in unserem Lieblings-Browser.
Machte man früher Witze über Sendmail, weil
praktisch jede Woche eine neue Sicherheitslücke
bekannt wurde, mausert sich der Internet
Explorer langsam zum "buggiest program on
planet earth". Wer sich nicht vom König unter
den Browsern - der halt doch durch
Kompatibelität und Features brilliert - trennen
kann, muss damit leben, dass er alle paar
Wochen neue Patches installieren muss. Mit dem
Auto-Update von Windows 2000 und XP ist das
jedoch auch nicht mehr wirklich ein Problem.
3.8 Microsoft Internet Explorer HTTPRückantworten Pufferüberlauf
Remote: Ja
Advisory:
/319764
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 5/11
s c i p
a g
Patch:
http://www.microsoft.com/technet/secu
rity/bulletin/MS03-015.asp
Das Hypertext Transfer Protocol (HTTP) ist die
Grundlage des World Wide Webs (WWW). Der
Client, im Normalfall ein Webbrowser wie der
Internet Explorer, schickt eine HTTP-Anfrage an
einen Server. Die Rückantwort des Webservers
besteht aus einem Header und dem Body. Der
Body ist der Inhalt der angeforderten Datei (z.B.
Index.html) und wird vom Browser für den
benutzer aufbereitet dargestellt. Die HeaderInformationen werden vom
Browser im
Hintergrund verarbeitet. Durch den Versand
überlanger Zeichenketten in den Feldern des
HTTP-Headers kann beim Internet Explorer ein
Pufferüberlauf herbeigeführt werden. Dadurch
sind Denial of Service-Attacken und das
Ausführen beliebigen Programmcodes auf dem
Rechner des Surfers möglich. Ein Patch, den es
schnellstmöglich zu installieren gilt, ist durch
Microsoft freigegeben worden.
Expertenmeinung:
Und schon wieder eine ernstzunehmende
Schwachstelle in unserem Lieblings-Browser.
Machte man früher Witze über Sendmail, weil
praktisch jede Woche eine neue Sicherheitslücke
bekannt wurde, mausert sich der Internet
Explorer langsam zum "buggiest program on
planet earth". Wer sich nicht vom König unter
den Browsern - der halt doch durch
Kompatibelität und Features brilliert - trennen
kann, muss damit leben, dass er alle paar
Wochen neue Patches installieren muss. Mit dem
Auto-Update von Windows 2000 und XP ist das
jedoch auch nicht mehr wirklich ein Problem.
3.9 Mdaemon IMAP4 Pufferüberlauf
Remote: Ja
Advisory:
http://www.dhgroup.org/bugs/bug73.ht
ml
Patch: http://www.mdaemon.com/
Die Server-Software Mdaemon ermöglicht das
Anbieten der Dienste SMTP, POP3, IMAP4 und
LDAP auf UNIX- und Windows-Systemen. Die
Damage Hacking Group entdeckte einen
Pufferüberlauf im create-Kommando des IMAP4Diensts. Denial of Service-Attacken, die alle Teile
des Mdaemon (SMTP, POP3, IMAP4 und LDAP)
betreffen, sind ohne Probleme möglich. Der
Angreifer sieht sich gar in der Lage, beliebigen
Programmcode auf dem System mit den Rechten
des Mdaemons auszuführen. Voraussetzung ist
in jedem Fall, dass der Benutzer einen IMAP4scip monthly Security Summary / April 2003
Marc Ruef
Account auf dem Server hat und in seiner
IMAP4-Mailbox noch mindestens 1 kb frei ist. Ein
funktionierender Perl-Exploit wurde zusammen
mit dem Posting auf Bugtraq veröffentlicht. Es
wird ein Update auf die aktuellste Version
empfohlen.
Expertenmeinung:
Im Gegensatz zur gleichzeitig auf Bugtraq
publiziertem Schwachstelle im POP3-Dienst von
Mdaemon, handelt es sich hier um eine
klassische
Pufferüberlauf-Verwundbarkeit.
Mdaemon wird noch immer gut und gerne
eingesetzt - Zu meinem Erstaunen befinden sich
meistens veraltete Versionen im Einsatz. Es
dürfte also nur eine Frage der Zeit sein, bis die
vielen Skript-Kiddies diesen Umstand entdeckt
haben und mal eben schnell den neuen Exploit
bei ihrem Anbieter ausprobieren wollen.
3.10 Mdaemon POP3 Denial of Service
Remote: Ja
Advisory:
http://www.dhgroup.org/bugs/bug72.ht
ml
Patch: http://www.mdaemon.com/
Die Server-Software Mdaemon ermöglicht das
Anbieten der Dienste SMTP, POP3, IMAP4 und
LDAP auf UNIX- und Windows-Systemen. Die
Damage Hacking Group entdeckte eine Denial of
Service-Schwachstelle im POP3-Dienst. Ein
legitimer Benutzer kann sich mit dem System
verbinden und mit dem DELE- oder UIDLKommando eine negative Zahl (z.B. "dele -1")
übergeben. Die Verbindung wird dann vom
verwundbaren Server geschlossen und er bleibt
bis zu einem Neustart nicht mehr ansprechbar.
Es wird ein Update auf die aktuellste MdaemonVersion empfohlen.
Expertenmeinung:
Diese Schwachstelle zeigt, dass die Entwickler
der Mdaemon-Software nicht damit gerechnet
haben, dass ein böswilliger Benutzer unerwartete
Kommandos und Parameter übergibt. Diese
Unterschätzung der Anwender hat schon so
manche Sicherheitslücke ermöglicht, die mit
einfachen Mitteln vermieden hätte werden
können.
3.11 Diverse Webbrowser HTMLUnicode Denial of Service
Remote: Ja
Advisory:
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 6/11
s c i p
a g
/319962
Stunde. Es wurde eine Denial of Service-Attacke
auf Bugtraq publiziert, die mit der Hilfe von
Unicode eine CPU-Auslastung von 100 %
erreichen kann. Der Browser ist sodann nicht
mehr ansprechbar, stürzt jedoch auch nicht direkt
ab. Ein Beispiel einer korrupten HTML-Datei
wurde zusammen mit dem Posting publiziert. Ein
Patch wird voraussichtlich folgen.
- Und sie passieren immerwieder. Die
Administratoren und Benutzer haben begonnen,
damit zu leben. Doch spätestens dann stösst
man sich an einer solchen Sicherheitslücke,
wenn sie in Sicherheits-Lösungen - wie in diesem
Fall eine Personal Firewall - gefunden werden.
Da die Kerio Personal Firewall nicht besonders
verbreitet ist, wird diese Schwachstelle keine
allzugrosse Bedeutung haben. Gleichzeitig ist
das Advisory jedoch als Warnung an alle
Hersteller
von
Sicherheits-Lösungen
zu
verstehen. Wer kauft schon ein Produkt zur
Absicherung seiner Rechner, wenn dieses
Produkt weitere erfolgreiche Angriffe ermöglicht?
Expertenmeinung:
Der Monat April scheint wirklich als der Monat der
Fehler im Internet Explorer einzugehen, wie
schon das Subjekt des Bugtraq-Postings
andeutet. Wieder ist eine Schwachstelle im
beliebten Webbrowser gefunden wurden. Man
kann an dieser Stelle jedoch schon fast von
Glück sprechen, dass es sich "nur" um eine
Denial of Service-Attacke handelt.
3.13 Mirabilis ICQ 2003 mehrere
Sicherheitslücken
3.12 Kerio Personal Firewall
Pufferüberlauf
Das alteingesessene ICQ der Firma Mirabilis
stellt einen sehr populären Chat-Dienst zur
Verfügung. Der Bostoner Security-Dienstleister
Corelabs warnt vor mehreren Sicherheitslücken
in der ICQ Instant Messaging Software ICQ Pro
2003a und allen Vorgängerversionen: (1) Der
POP3-Client
weist
eine
PufferüberlaufSchwachstelle auf. Durch das Zurücksenden
überlanger Message IDs (UIDL) kann der Client
zum
Absturz
bewegt
oder
beliebiger
Programmcode ausgeführt werden. (2) Da keine
Überprüfung der Länge der Mail-Header Subject
und Date durchgeführt werden, kann auch an
dieser Stelle ein Pufferüberlauf erzwungen
werden. Es wird empfohlen den ICQ-Mailclient
nicht für das Lesen von Emails zu nutzen. (3) Die
Funktion "ICQ Feature on Demand" kann genutzt
werden, um neue Features herunterzuladen und
zu installieren. In der Datei Packages.ini wird eine
URL definiert, von der die neuen Funktionen
bezogen werden können. Kann ein Angreifer
diese Datei manipulieren oder eine Man-in-theMiddle Attacke (z.B. Durch DNS-Spoofing)
durchführen, kann er fremde Pakete installieren.
Remote: Ja
Advisory:
http://www.securiteam.com/windowsntf
ocus/5VP10009PQ.html
Patch: http://www.kerio.com/kerio.html
Die Firma Kerio entwickelte eine für Windows frei
erhältliche Personal Firewall. Ein Pufferüberlauf
wurde im Prozess der Authentisierung des
Administrators gefunden. Wenn sich der
Administrator mit der Firewall verbindet, wird ein
definierter Handshake durchgeführt, der die
verschlüsselte Verbindung einleitet. Das vierte
Paket (das erste durch den Administrator
geschickte Paket) beinhaltet stets 4 Bytes
Nutzdaten. Auf der Firewall wird ein BoundaryCheck für dieses Paket durchgeführt, so dass
mehr als 4 Bytes übertragen werden können, die
den Stack überschreiben lassen. Ein Angreifer
kann sich sodann mit der AdministratorSchnittstelle verbinden, einen Pufferüberlauf
erzwingen und beliebigen Programmcode auf
dem Zielsystem ausführen. Dem Advisory wurde
ein in Python verfasster proof-of-concept Exploit
beigelegt. Als Workaround wird das Abschalten
des Administrator-Interface empfohlen. Der
Hersteller wurde informiert und er reagiert
voraussichtlich mit einem Patch.
Expertenmeinung:
Pufferüberlauf-Schwachstellen können passieren
Marc Ruef
Remote: Ja
Datum: 5. Mai 2003
Advisory:
http://www.coresecurity.com/common/
showdoc.php?idx=315&idxseccion=10
Patch: http://www.icq.com/
Expertenmeinung:
Lange Zeit war es ruhig um das ICQ-System. Die
neueste Version 2003 galt als eine der sichersten
seit anbeginn. Denn es wurden viele Fehler der
Vorgängerversionen behoben. Die Vielzahl der
neu eingebauten Features liess jedoch vermuten,
dass das jüngste Produkt ein Mehr an
Angriffsfläche bieten wird. Einmal mehr soll uns
dies ins Gedächtnis rufen, dass unnötige
Software, wie halt ICQ und Konsorten einmal
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 7/11
s c i p
a g
sind, auf sicherheitsrelevanten Systemen nichts
zu suchen haben.
3.14 Microsoft Internet Explorer DHTMLLink Denial of Service
Remote: Ja
Datum: 6. Mai 2003
Stunde. Es wurde eine weitere Denial of ServiceAttacke auf Bugtraq publiziert, mit der der
Webbrowser zum Absturz gebracht werden kann.
Das Problem liegt Verarbeiten von speziellen
DHTML-Links. Im Posting wurde die URL
http://usuarios.lycos.es/actualidad21/ie_URL_beh
aviour.html angegeben, auf der man seinen
eigenen Browser mit der Schwachstelle
konfrontieren kann. Laut Bugtraq-Posting wird
das Problem im nächsten Service Pack für den
Internet Explorer behoben sein.
Expertenmeinung:
Der Trend des Monats April, in dem
ausserordentlich viele Schwachstellen im Internet
Explorer gefunden wurden, scheint auch in
diesem Monat weiterzugehen. Wieder ist eine
Schwachstelle
im
beliebten
Webbrowser
gefunden wurden. Man kann an dieser Stelle
jedoch schon fast von Glück sprechen, dass es
sich "nur" um eine Denial of Service-Attacke
handelt.
3.15 Microsoft .net Passport Passwörter
zurücksetzen
Remote: Ja
Datum: 7. Mai 2003
Advisory:
http://lists.netsys.com/pipermail/fulldisclosure/2003-May/009593.html
Patch: http://www.passport.net/
Durch einen Designfehler im Microsoft .net
Passport System kann ein Angreifer das
Passwort eines bestimmten Kontos zurücksetzen
lassen. Dazu muss der Angreifer seinem Opfer
lediglich einen speziellen Link schicken, und das
Opfer dazu bringen, diesen Link anzuklicken.
Sodann wird das .net Passwort des Benutzers
zurückgesetzt.Muhammand Faisal Rauf Danka,
ein pakistanischer Security-Consultant, meldete
laut seinem Posting auf der SicherheitsMailinglist Full Disclosure das Problem bereits
mehrmals an Microsoft. Microsoft reagierte
mittlerweile und hat die Funktion des
Zurücksetzens abgeschaltet.
Marc Ruef
Expertenmeinung:
Diese Schwachstelle zeigt sehr imposant, dass
ein zentrales System neben den vielen Vorteilen
auch entscheidende Nachteile hat. Wird eine
Sicherheitslücke entdeckt, ist das gesamte
System untergraben und somit sämtliche
Benutzerdaten in Gefahr. Da bei diesem
spezifischen Fehler das aktive Zutun des Opfers
erforderlich
ist,
können
nicht
wahllos
irgendwelche
Konten
geplündert
werden.
Schlimm ist, dass diese Schwachstelle scheinbar
seit Beginn des .net Passport Systems existiert.
Microsoft hat auch relativ spät reagiert, wie im
Advisory angedeutet wurde.
3.16 Microsoft Windows Media Player 7
und 8 Dateien hochladen
Remote: Ja
Datum: 7. Mai 2003
Advisory:
Patch:
Der Microsoft Windows Media Player ist ein Teil
moderner Windows-Betriebssysteme und führ
das Darstellen von Multimedia-Dateien (Filmen
und Musik) vorgesehen. Ist der Windows Media
Player auf einem System vorhanden, installiert
der Microsoft Internet Explorer Skins (*.WMZ)
ohne Nachfragen des Benutzers. Um Angriffen
aus dem Internet vorzubeugen, wird dieser
Vorgang in einem zufälligen Ordner durchgeführt.
Durch das Heranziehen hexadezimal codierter
Backslashes (\) kann ein Angreifer den Zielpfad
exakt bestimmen. Möchte ein Angreifer eine
bestehende Datei überschreiben, wird zuerst der
Benutzer des Systems mit einer Popup-Meldung
gefragt. Kann ein Angreifer ausführbare Dateien
(z.B. Ein Backdoor-Programm) einschleusen
(z.B. Im Autostart-Ordner), kann so unter
Umständen das gesamte System kompromittiert
werden. Microsoft hat diese Sicherheitslücke als
"critical" eingestuft. Patches für die Versionen 7
und 8 des Windows Media Players stehen zum
Download bereit.
Expertenmeinung:
Diese Schwachstelle machte auf den ersten Blick
den Eindruck, als sei nichts schlimmes dabei.
Schliesslich kann ein Angreifer ja nur
irgendwelche Media Player Skins hochladen.
Doch bei näherem Hinblicken bemerkt man, dass
durch einen kleinen Fehler das Hochladen
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 8/11
s c i p
a g
beliebiger Dateien an einen beliebigen Ort
möglich
ist.
Das
Einschleusen
von
Computerviren, Würmern, Backdoors und
Trojanischen Pferden ist sodann kein Problem
mehr. Umso wichtiger ist es, dass auf allen
betroffenen Systemen der von Microsoft
freigegebene Patch installiert wird.
3.17 SAP Datenbank lokale RaceCondition während Installation
Remote: Indirekt
Datum: 7. Mai 2003
Patch: http://www.sapdb.org/
Die SAP DB ist eine frei verfügbare EnterpriseDatenbank. Die Installation dieses SoftwarePakets wird durch das Binary SDBINST
eingeleitet. Als erstes werden die Dateien
entpackt, die Rechte vergeben und ein
Integritäts-Check durchgeführt. Danach werden
zwei
ausführbaren
Dateien
SETUID-Bits
hinzugefügt. Die Zeitspanne zwischen dem
Integritäts-Check und dem Setzen der SETUIDBits ist relativ lang, so dass genügend Zeit
gegeben
ist,
um
eine
Race-Condition
umzusetzen. Lokale Angreifer können diesen
Umstand nutzen, um root-Rechte zu erhalten. Als
Workaround wird empfohlen, dass das System
zur Installation im Singleuser-Modus gestartet
wird und keine anderen Benutzer eingeloggt sein
sollen. Laut Bugtraq-Posting wurde der Hersteller
nie über das Problem informiert, behob das
Problem jedoch in den nachfolgenden SoftwareVersionen.
Expertenmeinung:
Man kann hier von einer klassischen RaceCondition sprechen. Die Möglichkeiten für einen
Angreifer sind gross. Jedoch muss das Timing
exakt stimmen: Der Benutzer muss zur richtigen
Zeit eingeloggt sein und rechtzeitig seinen
Programmcode einschleusen. Es ist nicht damit
zu rechnen, dass diese Schwachstelle von vielen
Angreifern erfolgreich ausgenutzt werden kann.
Trotzdem sollte man bei der Wahl der zu
installierenden SAP-Version darauf achten, dass
man die neueste heranzieht.
4.
Linktipps
4.1 it-secure-x.de – Deutschsprachige
Plattform zum Computersicherheit
URL: http://www-it-secure-x.de
Thema: Computer-/Netzwerksicherheit
Kategorie: Plattform und Archiv
Auf der Webseite von Thomas Leichtenstern
finden sich Texte und Software aus dem Bereich
der
Computersicherheit.
Eine
gute
Ausgangslage, um sich mit den jeweiligen
Unterthemen – zum Beispiel Kryptographie –
vertraut zu machen. Eine besondere Stärke des
Angebots ist jedoch der News-Teil, der jeweils
einmal im Monat zusammengefasst als
Newsletter abonniert werden kann.
Fast ein Jahr war die Seite von Thomas
Leichtenstern nicht erreichbar. Nach einem
Einbruch auf dem Webserver wurde das Projekt
umgehend auf Eis gelegt und an einer komplett
überarbeiteten Version begonnen zu arbeiten.
Das Warten hat nun endlich ein Ende. Mit
komplett
neuem
Design
und
Content
Management System trumpft eine wichtige
deutschsprachige Security-Seite wieder auf.
5.
Buchtipps
5.1 The Art of Computer Programming
Autor: Donald E. Knuth
Verlag: Addison-Wesley
Professional
Datum: 1. Juli 1997
ISBN: 0201896834 (dritte
Auflage)
Thema: Mathematik,
Algorithmen, Programmierung,
Assembler
Marc Ruef
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 9/11
s c i p
a g
Kategorie: Fachbuch, Lehrbuch
Donald E. Knuth versteht es wie kein anderer,
sich
mathematisch
mit
einem
Problem
auseinanderzusetzen.
Durch
arithmetische
Berechnungen nimmt er den Leser mit auf seine
Reise durch die Welt der effizienten Algorithmen
und
seines
MIX-Prozessors.
Anhand
einleuchtender Beispiele werden die Grundlagen
effizienter
Prozessor-Programmierung
abgehandelt.
Jeder,
der
seine
Mathematik-Kenntnisse
auffrischen, seine Algorithmen verbessern und
die Grundlagen von Assembler lernen möchte, ist
dieses Buch zu empfehlen. In jedem Fall hat man
lange daran zu knabbern - Aber es lohnt sich.
Müsste ich auf eine einsame Insel ziehen und
dürfte nur ein Buch mitnehmen, käme Band 1
von Knuths „The Art of Computer Programming“
in die engere Auswahl.
6.
Fragen und Antworten
Sicherheitsmassnahme umgehen kann [Ruef
2000]. Die einfachste Variante ist mit Sicherheit
das Ausbauen der entsprechenden Datenträger.
Baut er diese auf einem anderem System ein,
das keine BIOS-Authentisierung erfordert, wird
ihm der Zugriff gewährt.
Aus diesem Grund ist es empfehlenswert,
sensitive Daten auf den Festplatten zu
verschlüsseln. Dies ist zum Beispiel mit einem
kryptographischen
Dateisystem
möglich
[Dubrawsky 2003]. Windows 2000 und XP stellen
diese Funktionalität bei NTFSv5 mit EFS
(encrypting file system) zur Verfügung. Auf UNIXSystemen kann das CryptFS eingesetzt werden
[Zadok et al. 1998]. Sollen nur einzelne
Verzeichnisse
oder
Dateien
verschlüsselt
werden, können sogenannte File- Encryptors
eingesetzt werden. Zwar ist dem Dieb noch
immer der Zugriff auf die Daten möglich – Jedoch
braucht er zur Einsicht diese zuerst die
Verschlüsselung zu knacken, was ein erheblicher
Aufwand darstellt.
7.
6.1 Welche Sicherheit gewährt ein
BIOS-Passwort?
Literaturverzeichnis
Clancy, Tom, Pieczenik, Steve, Perry, Steve ,
BIOS-Passwörter gewähren eine sogenannte
lokale Sicherheit. Dies bedeutet, dass der lokale
Zugriff durch einen Passwort-Schutz gegeben ist.
Dieser Schutz ist jedoch nur dann vorhanden,
wenn auf das BIOS zugegriffen wird, was
normalerweise lediglich beim Aufstarten des
Computers der Fall ist. Das BIOS-Passwort
schützt nicht vor lokalen Zugriffen, wenn das
Betriebssystem geladen wurde.
Sinnvoll sind BIOS-Passwörter bei stationären
Workstations, die nicht oder nur sehr schwer
physikalisch (z.B. Abschliessen der Tür)
geschützt werden können. Es ist jedoch wichtig,
dass das System bei Nichtgebrauch abgeschaltet
wird, da sonst die BIOS-Passwortabfrage gar
nicht erfolgen kann.
Aber vor allem Laptops profitieren von den
Möglichkeiten eines BIOS-Passwortschutzes. Da
die Funktionsdauer eines mobilen Computers
durch die Kapazität der Stromversorgung –
vorzugsweise ein Akku – abhängig ist, muss das
System alle paar Stunden abgeschaltet werden.
So ist es zwingend erforderlich, sich in zyklischen
Abständen über das BIOS zu authentisieren.
Segriff, Larry, 1. März 2003, Tom Clancy’s Net
Force – State of War, Berkley Publishing Group,
ISBN 0425188132
Bendrath, Ralf, 19. Juli 1999, Der Kosovo-Krieg
im
Cyberspace,
http://www.heise.de/tp/deutsch/special/info/6
449/1.html
Dubrawsky, Ido, 7. März 2003, Cryptographic
Filesystems,
SecurityFocus.com,
http://www.securityfocus.com/infocus/1673
Ruef, Marc, 14. März 2000, BIOS-Passwörter,
http://www.kryptocrew.de/archiv/hacking/bio
s/bios-passwoerter/
Zadok, Erez, Badulescu, Ion, Shender, Alex,
1998, Cryptfs: A Stackable Vnode Level
Encryption File System, Computer Science
Department,
Columbia
University,
http://www1.cs.columbia.edu/~ezk/research/
cryptfs/cryptfs.pdf
Wird ein Computersystem, egal ob stationär oder
mobil, entwendet, muss sich der Dieb ebenso
des BIOS-Passwortes annehmen, um auf die
Daten der Festplatte zuzugreifen. Er hat
verschiedene Möglichkeiten, wie er diese
Marc Ruef
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 10/11
s c i p
8.
a g
Impressum
Herausgeber:
scip AG
Technoparkstrasse 1
CH-8005 Zürich
T +41 1 445 1818
F +41 1 445 1819
[email protected]
http://www.scip.ch
Zuständige Person:
Marc Ruef
Security Consultant
+41 1 445 1812
[email protected]
Das Errata (Verbesserungen, Berichtigungen,
Änderungen) der scip monthly Security
Summary’s
finden
Sie
online
unter
http://www.scip.ch/publikationen/smss/ .
Der Bezug des scip monthly Security Summary
ist kostenlos. Sie können sich mit einer Email an
die Adresse [email protected] eintragen.
Um sich auszutragen, senden Sie Ihr Email an
die Adresse [email protected]
Einem
konstruktiv-kritischen
Feedback
gegenüber sind wir nicht abgeneigt. Denn nur
durch
angeregten
Ideenaustausch
sind
Verbesserung möglich. Senden Sie Ihr Schreiben
an [email protected].
Senden Sie Ihre offenen Fragen inklusive Ihren
Koordinaten an [email protected].
Die scip AG – zu 100% unabhängig - unterstützt
Sie in allen Belangen einer ganzheitlichen ITSecurity. Sei es bei der Aufdeckung von neuen
Sicherheitslücken, der Analyse und Examinierung
Ihrer IT-Landschaft, der Ausbildung Ihrer
Mitarbeiter, der Wirtschaftlichkeitsprüfung Ihrer
IT-Umgebung, der Konzeption Ihrer Security
Architektur, der Ausarbeitung kreativer und
innovativer Lösungswege oder dem Einsatz von
professionellem
und
pragmatischem
Projektmanagement.
Auf unsere langjährige berufliche Erfahrung in
der IT-Security sind wir sehr stolz. Unsere
Mitarbeiter verfügen, in diesem sehr komplexen
sowie breitgefächerten Spezialgebiet, über
jahrelang erarbeitetes und angewandtes Wissen.
Nutzen Sie unsere Dienstleistungen!
Marc Ruef
Stand 19. Mai 2003
© scip AG
News, Webseite
public
Seite 11/11

scip ag

Transcription

Similar documents

scip ag

scip ag

scip ag

µC gesteuertes RFID Zeiterfassungsterminal, Hartmann, Marc

MS-DOS Back to the Disk