s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial It's all about math! Vor einiger Zeit erhielt ich ein eines Kollegen. Er hat eine Professur für Mathematik inne. Ihn kennengelernt habe ich bei einem Projekt eines Kunden. Er war für diesen mit seiner Einzelfirma als strategischen Berater tätig und wir führten die Sicherheitsüberprüfung der installierten Online-Banking-Umgebung durch. Wir haben aufgrund ähnlicher Interessen den sporadischen Kontakt auch nach Abschluss des Projekts gehalten. In seinem Schreiben wies er mich darauf hin, dass er in Bälde an seiner Fakultät einen Vortrag zur Serie Numb3rs und den darin genutzten mathematischen Verfahren halten würde. Er wusste, dass ich mich für eben diese begeistern könne und deshalb von seiner Arbeit sehr angetan sein würde. Doch leider konnte ich an der besagten Vorlesung aufgrund eines Terminkonflikts nicht teilnehmen. Dies teilte ich ihm halt mit Bedauern per mit. Zeitgleich berichtete ich ihm davon, dass ich erst kürzlich der Firmgötti meiner Cousine war. Während wir auf dem Weg in die Kirche waren, eigentlich sind derlei Anlässe nicht so mein Ding, plauderte ich mit ihrem kleinen Bruder. Der 1- jährige ist ein ganz wiffer Kerl und so wollte ich wissen, welches sein Lieblingsfach in der Schule sei. Er zählte, und so habe ich es erwartet, Turnen und Zeichnen auf. Ich fragte nach, wie es denn um Mathematik stünde. Seine Antwort darauf: "Das ist langweilig, denn da geht es ja nur um Zahlen." Die Autofahrt war zu kurz, alsdass ich ihn ersthaft für die Nützlichkeit dieser klassischen Disziplin begeistern konnte. Deshalb plauderten wir stattdessen über Skateboards, Tony Hawk und meine neue Playstation 3. Er ist sehr unterhaltsam. Es ist wirklich unglaublich schade, dass so vielen Menschen in der Schule der Spass an verschiedenen Dingen verdorben wird. Seien dies nun die Oberstufenschüler, die zur Lesung von Friedrich Dürrenmatt und Hermann Hesse gezwungen werden und danach nie wieder freiwillig ein Buch anrühren. Oder halt eben die Schüler, die wegen eines staubigen Mathematiklehrers nie in Kontakt mit Probabilistik und Trajektorie kommen. Ohne diese hätte Charlie Eppes die Pilotfolge nie so schön meistern können! Aufgrund eines umfassenden Bekanntenkreises und sporadischer Tätigkeit als Dozent habe ich immerwieder Kontakt mit Lehrern. Das Leben dieser ist wirklich unglaublich schwierig, das will ich gar nicht bestreiten. Und die meisten von ihnen, wenigstens zu Beginn ihrer Tätigkeit, verfolgen die edlen Ziele der Wissens- und Wertevermittlung. Und dennoch tragen Sie genau mit ihrer Menschlichkeit die Mitschuld am Versagen der Schule. Da gibt es nun die technophoben Kindergartenlehrerinnen, die ihre Kinder in eine Welt voller Technologien schubsen, ohne sie irgendwie darauf vorbereiten zu können oder wollen. Oder die bornierten Lehrer, die die Kinder als dumme und verdorbene Generation X ansehen. Die Förderung, wie sie dringend gebraucht werden würde, bleibt sodann aus. Die pubertäre Rebellion mündet dann darin, sich für nichts und niemanden mehr begeistern zu können. Mir ging es da in der Schule nicht viel anders... 1/19

2 scip monthly Security Summary Ich selbst habe keine Kinder; zum Glück. Und deshalb laufe ich hier Gefahr, über etwas zu schreiben, von dem ich nun gar keine Ahnung habe. Und in der Tat frage ich mich, ob ich meine Kinder gut erziehen, ihnen die richtigen Werte mit auf den Weg geben und sie für die Schönheiten des Lebens begeistern könnte. Wahrscheinlich werde ich es halten wie meine Eltern und meine Zöglinge zu nichts zwingen, was sie nicht machen wollen (Fördern und Fordern). Zwar empfinde ich es als sehr schade, dass ich aufgrund des fehlenden Drucks meiner Eltern nie ein Studium angefangen habe. Wer weiss, vielleicht wäre mein Leben aber viel schlechter verlaufen, wären meine Eltern um einen akademischen Grad für mich bemüht gewesen. Die Eltern und auch die Lehrer sollten sich stattdessen darum bemühen, als gutes Vorbild voranzugehen. Auch wenn ich in der Aggressionsforschung das Lernen am Modell zu grossen Teilen in Frage stelle (z.b. Einfluss gewalttätiger Computerspiele auf die eigene Aggressionsbereitschaft), ist es wohl gerade in Bezug auf positive Eigenschaften das längerfristig wirksamste Mittel grösster Nachhaltigkeit. Schliesslich konnte ich mich für Literatur nur dank meinem quirligen Deutschlehrer und für Mathematik nur dank meinem zynischem Mathematiklehrer begeistern. Ironischerweise waren es gerade jene Lehrer, die von den Eltern meisten diskutiert wurden und von den Schülern am meisten gehasst waren.. scip AG Informationen.1 Neues Domizil bezogen Die scip AG hat nun ihre neuen Büroräumlichkeiten bezogen. Wir geniessen nun den Sonnenaufgang über einigen Dächern der Stadt Zürich. Zur Erinnerung finden Sie untenstehend nocheinmal unsere aktuellen Koordinaten: scip AG Badenerstrasse Zürich Gerne setzen wir Ihre aktuellen und zukünftigen Projekte mit unserem bekannten Elan, Enthusiasmus und Professionalität auch im neuen Domiziel um.. Interview mit Herrn Marc Ruef im PC Magazin Das PC Magazin ( hat in ihrer Ausgabe 11/7 Herrn Marc Ruef zu seiner Meinung zum Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität welches in Deutschland seit dem 11. August 7 in Kraft getreten ist befragt. Mein Französischlehrer war hingegen langweilig, der spätere Geschichtslehrer ebenso und der Lehrer für die kaufmännischen Bereiche konnte ich gar nicht leiden (er hat mich auch immer nach Hause geschickt; zu Recht). Die Schule ist, auch wenn man es nicht immer wahrhaben möchte, dennoch massgeblich für die Entwicklung der eigenen Persönlichkeit mitverantwortlich. Sie muss helfen zu motivieren, etwas lernen zu wollen. Letzteres ergibt sich dann für viele von selbst. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 1. September 7 /19

3 scip monthly Security Summary Neue Sicherheitslücken Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Sep 7 Okt 7 sehr kritisch 1 kritisch 15 8 problematisch Contents: 3398 Cisco CallManager Authentication Header Hijacking Sicherheitsproblem 3397 Cisco PIX and ASA MGCP Packet Processing Denial of Service 3396 Cisco PIX and ASA TLS Packet Processing Denial of Service 3393 Opera inkorrekter Start externer Applikationen 3391 IBM WebSphere Application Server unspezifizierte Schwachstelle 3387 Apple ipod touch / iphone TIFF Image Processing Schwachstelle 3386 Joomla! "searchword" Cross-Site Scripting 3383 CA BrightStor ARCServe Backup Pufferüberlauf bei RPC-Handling 338 Asterisk IMAP Storage Voic Pufferüberlauf 338 phpmyadmin "setup.php" Cross-Site Scripting 3373 Microsoft Word unspezifizierte Memory Corruption 3368 Microsoft Windows NNTP Response Handling Pufferüberlauf 3367 Microsoft Windows Kodak Image Viewer Codeausführung 3366 Internet Explorer File Download Handling Memory Corruption 3365 libpng ICC Profile Chunk Denial of Service 3364 Nagios Plugins Long Location Header Pufferüberlauf 3357 Google Mini Search Appliance "ie" Cross-Site Scripting 3347 Internet Explorer "OnKeyDown" Event Focus Schwachstelle 3339 Apple iphone Fehler bei der Validierung von SDP Paketen 3334 Barracuda Spam Firewall "Monitor Web Syslog" Script Insertion 333 ImageMagick ReadDCMImage() unendlicher Loop (DoS) 337 Xitami "If-Modified-Since" Pufferüberlauf 333 VMWare DHCP Server Pufferüberlauf 3.1 Cisco CallManager Authentication Header Hijacking Sicherheitsproblem Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Remote: Teilweise Datum: scip DB: Der Cisco CallManager (kurz: CCM) ist eine Software zur Steuerung und Vermittlung von Telefonsystemen die auf dem IP-Protokoll basieren. Ein derartiges System wird auch als IP- Telefonie-Lösung oder Voice-over-IP (VoIP)- System bezeichnet. Der CallManager-Server übernimmt wesentliche Funktionen einer klassischen Telefonanlage. Bei anderen Herstellern findet man häufig den Begriff Soft- PBX. Olivier Festor, Humberto J. Abdelnur und Radu State stellten vor kurzem eine Schwachstelle in aktuellen Versionen der Software vor, bei der aufgrund der unsauberen Verarbeitungen von SIP Paketen Verbindungen mit vorgängig mitgeschnitten Authentitifizierungs- Headern zu initiieren. Dadurch können Verbindungen von Accounts Dritter aufgebaut und missbraucht werden. Voice over IP ist nach wie vor ein Trendthema. Mittlerweile haben auch die meisten Hersteller und Integratoren gemerkt, dass die Sicherheit einer derartigen Technologie durchaus eine Herausforderung darstellt. Im vorliegenden Fall empfiehlt es sich, baldmöglichst die erscheinenden Updates zu berücksichtigen und CallManager nicht in ungeschützten Umgebungen zu implementieren. 3. Cisco PIX and ASA MGCP Packet Processing Denial of Service Datum: /19

4 scip monthly Security Summary scip DB: Die Firma Cisco Systems, Inc. ist der größte Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. Cisco meldete unlängst in einem Advisory eine Schwachstelle bei der Verarbeitung von MGCP Paketen in PIX und ASA Appliances. Dabei führt ein Verarbeitungsfehler zu einem Denial of Service und kann unter Umständen den Betrieb des Netzwerkes stören. Ciscos PIX und ASA Geräte sind relativ flächendeckend im Einsatz und aufgrund ihrer Funktion relativ exponiert gegenüber Angriffe. Entsprechend ist auch ein Denial of Service Angriff unter Umständen durchaus problematisch, weshalb baldmöglichst entsprechende Fixes eingespielt werden sollten. 3.3 Cisco PIX and ASA TLS Packet Processing Denial of Service Datum: scip DB: Die Firma Cisco Systems, Inc. ist der größte Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. Cisco meldete unlängst in einem Advisory eine Schwachstelle bei der Verarbeitung von TLS Paketen in PIX und ASA Appliances. Dabei führt ein Verarbeitungsfehler zu einem Denial of Service und kann unter Umständen den Betrieb des Netzwerkes stören. Ciscos PIX und ASA Geräte sind relativ flächendeckend im Einsatz und aufgrund ihrer Funktion relativ exponiert gegenüber Angriffe. Entsprechend ist auch ein Denial of Service Angriff unter Umständen durchaus problematisch, weshalb baldmöglichst entsprechende Fixes eingespielt werden sollten. 3.4 Opera inkorrekter Start externer Applikationen Einstufung: kritisch Datum: scip DB: Opera, ist eine für viele Plattformen kostenlos erhältliche Software, welche Webbrowser, E- Mail-Client und weitere Werkzeuge in sich vereint. Hersteller ist das norwegische Unternehmen Opera Software ASA. Der Opera- Browser ist seit der Version 8.5 vom. September 5 kostenlos verfügbar und damit sogenannte Freeware. Kostenpflichtige Registrierungen sind damit nicht mehr erforderlich. In früheren Versionen gab es jeweils eine kostenlose, werbefinanzierte Version, die ein Werbebanner anzeigte (Adware) und eine nach Eingabe eines kostenpflichtigen Schlüssels registrierte Version ohne Werbung. Michael A. Puls II fand eine Schwachstelle beim Start externer Applikationen aus Opera heraus, bei der durch einen Fehler beliebige Befehle zur Ausführung gebracht werden können. Gleich drei kritische Schwachstellen adressiert der norwegische Hersteller von Opera dieser Tage mit neuen Patches. Aufgrund der kritischen Natur der Schwachstelle empfiehlt sich ein baldiges Einspielen der entsprechenden Updates. 3.5 IBM WebSphere Application Server unspezifizierte Schwachstelle Datum: scip DB: WebSphere ist eine Produktlinie der Firma IBM, die unterschiedliche Software für Anwendungsintegration, Infrastruktur (z. B. Transaktionen und Warteschlangen) und eine integrierte Entwicklungsumgebung umfasst. Sehr oft wird der WebSphere Application Server (WAS) auch einfach mit WebSphere bezeichnet. Bei diesem Application Server handelt es sich um eine Laufzeitumgebung für JEE-Anwendungen (Java Enterprise Edition). Üblicherweise werden diese als EAR (Enterprise Application Archive) bzw. WAR (Web Application Archive) gepackt. EAR bzw. WAR Dateien sind mit dem Werkzeug jar (Java Archive) verpackte Komponenten. IBM gab unlängst einen unspezifizierten Fehler in den administrativen Skriptingtools bekannt. Ausser einem Patch wurden keine weiteren Informationen bekanntgegeben. Vielen Administratoren wird mulmig zumute, wenn ein Patch erscheint von dem eigentlich 4/19

5 scip monthly Security Summary niemand wirklich so genau weiss, was er eigentlich macht. Im vorliegenden Fall dürften diese erneut skeptisch werden, zumal zur Schwachstelle die durch den freigegebenen Patch adressiert wird eigentlich nichts bekannt ist. Es empfiehlt sich nichtsdestotrotz, den freigegeben Patch nach Möglichkeit einzuspielen um die besagte Lücke - sei sie noch so unbekannt - zu schliessen. 3.6 Apple ipod touch / iphone TIFF Image Processing Schwachstelle Einstufung: kritisch Datum: scip DB: Das iphone ist ein von Apple entwickeltes Smartphone, das nur über drei herkömmliche Tasten und einen Regler verfügt und ansonsten ausschließlich über ein Display mit Multi-Touch- Funktion bedient wird. Der Verkaufsstart in den USA war am 9. Juni 7. Das Handy wird dort ausschließlich in Kooperation mit dem amerikanischen Mobilfunkkonzern AT&T Wireless angeboten. Das Gerät vereint Funktionen eines ipod-video-medienspielers mit denen eines Mobiltelefons mit Digitalkamera und Internetzugang. In Europa wird das Gerät ab dem 9. November 7 zuerst in Deutschland und Großbritannien, später auch in Frankreich angeboten. Gemäss einem Researcher mit dem Nickname "Niacin" enthält die derzeitige Softwareversion eine bereits bekannte Schwachstelle im Umgang mit TIFF Dateien. Durch eine speziell vorbereitete TIFF Datei kann ein Pufferüberlauf provoziert werden, der die Ausführung beliebigen Codes erlaubt. Joomla! (sprich englisch: dschuumla, seltener auch juumla) ist ein populäres freies Content- Management-System (CMS), das aus dem Open-Source-Projekt Mambo hervorgegangen ist. Nach erheblichen Differenzen mit der australischen Firma Miro, die die Namensrechte an Mambo besaß, verabschiedeten sich die Mambo-Entwickler von diesem Projekt. Um das System dennoch weiterentwickeln zu können, wurde der Code von Mambo in Joomla! übernommen und dann zu 1..x (Stable) weiterentwickelt. Joomla! gehört zusammen mit WordPress, TYPO3 und Drupal zu den bekanntesten Open-Source-CMS. Ein Researcher mit dem Pseudonym "MustLive!" beschreibt in einem Advisory eine XSS Schwäche bei der der Parmeter searchword in index.php nicht zureichend validiert wird, bevor er an den Benutzer zurückgegegen wird. Dadurch entstehen verschiedene Möglichkeiten, eine XSS Attacke gegen einen Benutzer durchzuführen. XSS Angriffe werden immer ausgefeilter, dieser Trend zeichnete sich im letzten Jahr klar ab. Entsprechend sollten hier entsprechende Massnahmen getroffen werden. In Ermangelung eines Patches seitens des Herstellers empfiehlt es sich, selbst Hand anzulegen und die entsprechenden Funktionen zu korrigieren. 3.8 CA BrightStor ARCServe Backup Pufferüberlauf bei RPC-Handling Datum: scip DB: Das iphone wurde gehypet wie kaum ein anderes Gerät des letzten Jahres. Da erstaunt es nicht, dass entsprechende Exploits zur Ausführung eigenen Codes auf dem eigentlich geschlossenen Gerät aus dem Boden spriessen. Allmählich müsste man sich fragen, ob Apple nicht gut daran täte, ein offizielles SDK zu veröffentlichen um dem leidigen Wettrennen ein Ende zu bereiten. 3.7 Joomla! "searchword" Cross-Site Scripting Datum: scip DB: Computer Associates International, Inc. wurde 1976 in New York von Charles B. Wang mit drei Mitarbeitern gegründet und wurde 4 in CA, Inc. umbenannt. Die Firma gehört zu den größten Softwarekonzernen der Welt und vertreibt Management-Software für Netzwerke, Storage, Security sowie Projekt- und Portfoliomanagement. Sitz von CA ist Islandia im US-Bundesstaat New York, USA. Ein Produkt des entsprechenden Herstellers ist die Backupsoftware Brightstor. Dyon Balding berichtet in einem Advisory über eine Schwachstelle, bei der durch eine Schwäche im Handling von RPC Requests ein Pufferüberlauf hervorgerufen werden kann, der einem Angreifer die Ausführung beliebigen Codes ermöglicht. Gleich drei Schwachstellen musste CA in zeitnah 5/19

6 scip monthly Security Summary in seiner Backuplösung verzeichnen. Zwar sind diese lediglich als problematisch einzustufen, dennoch empfiehlt es sich die entsprechenden Updates des Herstellers baldmöglichst einzuspielen. 3.9 Asterisk IMAP Storage Voic Pufferüberlauf Datum: scip DB: Asterisk ist eine freie Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage abdeckt. Asterisk unterstützt Voice-over-IP (VoIP) mit unterschiedlichen Protokollen und kann mittels relativ günstiger Hardware mit Anschlüssen wie POTS (analoger Telefonanschluss), ISDN-Basisanschluss (BRI) oder -Primärmultiplexanschluss (PRI, E1 oder T1) verbunden werden. Mark Spencer hat Asterisk ursprünglich geschrieben, wichtige Erweiterungen und Applikationen stammen aber auch von anderen Entwicklern. Russell Bryant und Mark Michelson fanden heraus, dass durch das Senden einer speziell manipulierten als Voic Nachricht mit überlangen Headerdaten ein Pufferüberlauf provoziert werden kann, mittels dem beliebiger Code zur Ausführung gebracht werden kann. Asterisk ist heute ein gerngesehener Ersatz für altgediente Telefonanlagen, die noch mit sündhaft teuren Hardwareanschaffungen zusammenhingen. Ebenso gern gesehen dürfte die vorliegende Schwachstelle für potentielle Angreifer sein, weshalb es sich empfiehlt die freigegebenen Updates baldmöglichst zur Schliessung der Lücke einzuspielen. 3.1 phpmyadmin "setup.php" Cross- Site Scripting phpmyadmin ist eine freie PHP-Applikation zur Administration von MySQL-Datenbanken. Die Administration erfolgt über HTTP mit einem Browser. Daher können auch Datenbanken auf fremden Rechnern über eine Netzwerkverbindung oder über das Internet administriert werden. Für die Nutzung des Programms sind keine Kenntnisse in SQL notwendig, da die Applikation nach dem WYSIWYG-Verfahren arbeitet. Omer Singer berichtet von einer Schwachstelle in der Datei setup.php, bei der Eingaben die via HTTP GET übertragen werden nicht zureichend validiert werden, bevor sie dem Browser des Benutzers zurückgegeben werden. Dadurch können webbasierte Angriffsvektoren wie XSS oder CSRF angestrebt werden. phpmyadmin gehört zum Standardrepertoire vieler Webmaster und ist somit sicherlich ein beliebtes Ziel für Angriffe. Allerdings ist es wichtig zu erwähnen, dass lediglich Browser verwundbar sind, bei denen beim Absenden des Requests keine URL-Enkodierung stattfindet, wie z.b. IE6. Entsprechend ist diese Schwachstelle lediglich als problematisch zu werten. Es empfiehlt sich, das freigegebene Update des Herstellers baldmöglichst einzuspielen Microsoft Word unspezifizierte Memory Corruption Datum: scip DB: Einstufung: sehr kritisch Datum: scip DB: Microsoft Word (oft auch kurz MS Word oder Word genannt) ist ein Textverarbeitungsprogramm der Firma Microsoft für die Windows-Betriebssysteme und Mac OS. Es ist Teil der Officesuite Microsoft Office sowie der auf private Nutzer zugeschnittenen Programmsammlung Microsoft Works Suite, wird aber auch einzeln verkauft. Lui Kun-Hao vom Information and Communication Security Technology Center fand eine Schwachstelle in aktuell verwendeten Versionen von Microsoft Word, bei der durch das Öffnen eines Office- Dokumentes beliebiger Code zur Ausführung gebracht werden kann. Weitere Informationen sind nicht bekannt. Einmal mehr erhält eine Schwachstelle in Microsoft Word an dieser Stelle die Bewertung "sehr kritisch". Zurecht, denn die vorliegende Schwachstelle wird nach Informationen des Herstellers derzeit aktiv ausgenutzt. Allerdings erscheint es in diesem Kontext erneut fragwürdig, warum in logischer Konsequenz nicht die Details der Schwachstelle bekanntgegeben werden, um entsprechende Gegenmassnahmen überhaupt zu ermöglichen. Unabhängig davon hat Microsoft mittlerweile einen Patch veröffentlicht, der die 6/19

7 scip monthly Security Summary Lücke angeblich schliessen soll. In Ermangelung besseren Wissens empfiehlt es sich also, diesen baldmöglichst einzuspielen - in der Hoffnung, dass die entsprechenden Schwächen tatsächlich umfassend ausgemerzt wurden. 3.1 Microsoft Windows NNTP Response Handling Pufferüberlauf (Network News Transfer Protocol) ist das im Usenet verwendete Übertragungsprotokoll. Seine Spezifikationen wurden im RFC 977 (Februar 1986) festgelegt. Einige Erweiterungen des Standard-Protokolls wurden in RFC 98 (Oktober ) festgehalten. Im Oktober 6 wurde RFC 3977 veröffentlicht der die beiden Vorgänger ersetzt bzw. erweitert. Das Nachrichtenformat ist im RFC 136 (Dezember 1987) definiert. Die IANA hat dem Protokoll den TCP-Port 119 zugewiesen. Microsoft implemtiert dieses Protokoll in seinen Betriebssystemen mittels der DLL inetcomm.dll. Gemäss Greg MacManus von idefense besteht hier eine kritische Schwachstelle, da durch manipulierte NNTP Responses ein heap-basierter Pufferüberlauf provoziert werden kann, der die Ausführung beliebigen Codes ermöglicht. NNTP ist auf Windows-Systemen standardmässig installiert und somit verwundbar für die vorliegende Schwachstelle. Die Schwachstelle eignet sich damit hervorragend für flächendeckende Angriffe zur Erweiterung von Botnet-Infrastrukturen und wird auch bereits aktiv ausgenutzt. Es empfiehlt sich daher, Systeme baldmöglichst mit den entsprechenden Patches zu versorgen um diese Lücke zu schliessen. unspezifizierten Fehler bei der Verarbeitung manipulierter Dateien beliebiger Code zur Ausführung gebracht werden kann. Auch hier gilt: Was nicht genau spezifiziert werden kann, das kann schlecht objektiv eingestuft werden. Es ist hier aber davon auszugehen, dass Microsoft die Interna der Schwachstelle kennt - die entsprechend hohe Bewertung des Softwaregiganten lässt darauf schliessen, dass es sich hierbei um eine gefährliche Lücke handelt, warum hier auch die Stufe "kritisch" angebracht erscheint. Es empfiehlt sich daher, die freigegebenen Patches baldmöglichst einzuspielen Internet Explorer File Download Handling Memory Corruption Einstufung: kritisch Datum: scip DB: Einstufung: kritisch Datum: scip DB: Internet Explorer oder Windows Internet Explorer (Abkürzungen: IE oder MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Mac OS und Unix-Derivate (wie Solaris und HP-UX). Die derzeit aktuelle Version ist Windows Internet Explorer 7. Carsten Eiram von Secunia Research fand eine kritische Lücke in aktuelle verfügbaren Versionen des Browsers, bei der durch einen Fehler im File Download Queueing eine Memory Corruption erreicht werden kann, was die mögliche Ausführung beliebigen Codes zur Folge haben kann Microsoft Windows Kodak Image Viewer Codeausführung Einstufung: kritisch Datum: scip DB: Der Microsoft Kodak Image Viewer ist ein in Microsoft Windows implementierter Betrachter für Kodak-Bilddateien. Gemäss eines Advisories des Researchers Cu Fang besteht in dieser Applikation in vorliegenden Versionen eine Schwachstelle, bei der durch einen Microsofts Lieblingskind kommt nicht zur Ruhe: Kaum ein Monat vergeht ohne weitere Lücken im ohnehin schon lange malträtierten Browser. Die vorliegende Lücke ist erneut als kritische zu betrachten, zumal alleine das Besuchen einer entsprechend präparierten Webseite schon zur Ausführung beliebigen Codes ausreichen kann. Es empfiehlt sich daher, den von Microsoft freigegeben Patch baldmöglichst einzuspielen um diese Lücke zu schliessen bevor sie breitflächig ausgenutzt wird. 7/19

8 scip monthly Security Summary libpng ICC Profile Chunk Denial of Service Portable Network Graphics (PNG, engl. portierbare Netzwerkgrafiken) ist ein Grafikformat für Rastergrafiken. Es wurde als freier Ersatz für das ältere, bis zum Jahr 4 mit Patentforderungen belastete Format GIF entworfen und ist weniger komplex als TIFF. Die Daten werden verlustfrei komprimiert abgespeichert (im Gegensatz zum verlustbehafteten JPEG-Dateiformat). Durch einen Off-by-One Fehler in libpng's ICC profile chunk Handling kann dabei ein Denial of Service herbeigeführt werden. Libpng kämpfte schon in jüngster Vergangenheit mit Problemen im Bereich der ICC Profilverarbeitung. So ist dies auch nicht die erste Off-by-One Vulnerability, die an dieser Stelle zu vermelden ist. Die Gegenmassnahme bleibt die selbe: Die betroffenen Softwarekomponenten sollten baldmöglichst durch die bereitgestellten Patches auf den neusten Stand gebracht werden Nagios Plugins Long Location Header Pufferüberlauf Durch die Software Nagios (Network + Hagios), die früher NetSaint hieß, ist es möglich, komplexe IT-Strukturen zu überwachen. Nagios bietet dazu eine Sammlung von Modulen zur Netzwerk-, Host- und speziell Serviceüberwachung sowie einem Webinterface zum Abfragen der gesammelten Daten. Nagios steht unter der GPL, ist also Freie Software, und läuft unter zahlreichen Unix-ähnlichen Betriebssystemen. Nagios und das Nagios-Logo sind eingetragene Warenzeichen von Ethan Galstad. Nobuhiro Ban fand eine Schwachstelle im Plugins System (Version 1.x), bei der ein Fehler in der Funktion redir() der Datei check_http.c einen Pufferüberlauf beim Verarbeiten des HTTP Location: Headers verursacht. Dadurch kann ein Angreifer beliebigen Code zur Ausführung bringen und das System kompromittieren. Nagios - ehemals NetSaint - ist ein populäres Monitoringtool, das mittlerweile auch Thema einiger nicht unerfolgreicher Bücher wurde. Im Allgemeinen sind Monitoringsysteme als sensibler Teil des eigenen Netzwerkes anzusehen, weshalb diese Schwachstelle - trotz ihrer moderaten Risikostufe - ernstgenommen werden sollte. Betroffenene Administratoren sollten baldmöglichst entsprechende Patches berücksichtigen, um die Möglichkeit eines Angriffes zu minimieren Google Mini Search Appliance "ie" Cross-Site Scripting Datum: scip DB: Datum: scip DB: Datum:.1.7 scip DB: Mit der Google Appliance verkauft Google seine Suchtechnologie an Firmen, die sie im eigenen Intranet einsetzen möchten. Bei der Appliance handelt es sich um einen Server mit vorinstallierter Software, der im firmeneigenen Netz dieselbe Aufgabe übernimmt, die Google für das World Wide Web leistet. Dokumente werden im Index vorgehalten und Suchanfragen beantwortet. Websecurity meldete dabei unlängst eine Schwachstelle, bei der Eingaben die mittels des "ie"-parameters übergeben werden nicht ausreichend validiert werden, bevor sie dem Benutzer wieder angezeigt werden. Dies ermöglicht es, beliebigen Scriptcode in Ergebnisseiten zu injizieren, was zur Ausführung von XSS-Angriffen verwendet werden kann. Dass Google auch nicht vor Fehlern in diversen seiner Produkte gefeit ist, wurde unlängst bereits durch diverse XSRF-Schwachstellen in Gmail erneut bewiesen. Diesmal jedoch trifft es ein Produkt, dass nicht rein zentralisiert vertrieben wird, sondern effektiv in Kundennetzwerken steht und dadurch vielerorts als "trusted" angesehen wird. Dadurch gewinnt diese Schwachstelle etwas an Brisanz, ist aber gesamthaft dennoch als problematisch zu sehen. Es empfiehlt sich, das baldige Update seitens Google baldmöglichst einzuspielen Internet Explorer "OnKeyDown" Event Focus Schwachstelle Datum: /19

9 scip monthly Security Summary Internet Explorer oder Windows Internet Explorer (Abkürzungen: IE oder MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Mac OS und Unix-Derivate (wie Solaris und HP-UX). Die derzeit aktuelle Version ist Windows Internet Explorer 7. Ronald van den Heetkamp berichtet, dass sich eine unlängst für Firefox erschienene Schwachstelle ebenfalls auf dem IE ausnutzbar erscheint. Es handelt sich dabei um eine Schwachstelle, bei der mittels des Event Handlers OnKeyDown beliebige Daten von der Festplatte des Benutzers auf einen Webserver hochgeladen werden können, sofern der Benutzer dazu gebracht werden kann, den entsprechenden Dateipfad in ein dafür vorgesehenes Eingabefeld einzugeben. Es ist kein neues Phänomen, dass Schwachstellen plötzlich auch für andere Browser adaptiert werden können. Es ist damit zu rechnen, dass Windows diese Schwachstelle im Rahmen des nächsten Security Bulletins adressiert. Bis dahin kann als Workaround die Deaktivierung des Active Scriptings empfohlen werden Apple iphone Fehler bei der Validierung von SDP Paketen scip DB: Datum: scip DB: Das iphone ist ein von Apple entwickeltes Smartphone, das nur über drei herkömmliche Tasten und einen Regler verfügt und ansonsten ausschließlich über ein Display mit Multi-Touch- Funktion bedient wird. Der Verkaufsstart in den USA war am 9. Juni 7. Das Handy wird dort ausschließlich in Kooperation mit dem amerikanischen Mobilfunkkonzern AT&T Wireless angeboten. Das Gerät vereint die Funktionen eines ipod-video-medienspielers mit dem eines Mobiltelefons mit Digitalkamera und Internetzugang. In Europa wird das Gerät ab dem 9. November 7 zuerst in Deutschland und Großbritannien, später auch in Frankreich angeboten. Kevin Mahaffey und John Hering fanden eine Schwachstelle bei der Verarbeitung von SDP Paketen, durch die beliebiger Code zur Ausführung gebracht werden kann. Gleich über ein halbes Dutzend Schwachstellen adressierte Apple mit seinem ersten grossen Firmware Update für sein neues Lieblingskind, das iphone. Bei der riesigen Medienpräsenz, die Apples angebliches Wunderkind bereits im Vorfeld erhielt, ist es kein Wunder dass sich eine Vielzahl von Researchern gierig auf das Gerät stürzte. Entsprechend überrascht es nicht, dass auch bereits nach kurzem diese Schwachstellen bekannt wurden. Eigentümern des Gerätes sei es geraten, das entsprechenden Firmware Upgrade einzuspielen - allerdings verbunden mit der Warnung, dass Apple ebenfalls mit diesem Update auch allfällige Sim-Hacks oder proprietäre Software von Drittherstellern wertlos macht. 3. Barracuda Spam Firewall "Monitor Web Syslog" Script Insertion Datum: scip DB: Die Barracuda Spam Firewall ist eine All-in-One Lösung zur Bekämpfung von Spam Mails. Die Hersteller, Barracuda Networks, setzen dazu auf eine Kombination von verschiedenen OpenSource Komponenten (SpamAssassin, ClamAV, etc.) in Kombination mit einer eigens entwickelten Management Oberfläche. Federico Kirschbaum fand eine Schwachstelle im Monitor Web Syslog, wo sich durch die Eingabe von entsprechend präparierten Daten in das "Benutzername"-Feld beliebige Scripts injizieren lassen. Dadurch wird es einem Angreifer ermögicht, beliebige webbasierte Angriffe (XSS, CSRF) durchzuführen. Cross-Site-Scripting ist ein ernstzunehmendes Problem, gerade im Anbetracht der immer professioneller werdenden Exploits auf Javascript und Flash Basis. Es empfiehlt sich, das freigegebene Update der Barracuda Spam Firewall baldmöglichst einzuspielen, um diese Schwachstelle zu schliessen. 3.1 ImageMagick ReadDCMImage() unendlicher Loop (DoS) Einstufung: kritisch Datum: /19

10 scip monthly Security Summary ImageMagick ist der Name eines freien Softwarepakets zur Erstellung und Bearbeitung von Rastergrafiken. ImageMagick kann momentan mehr als 9 der meistverwendeten Bildformate lesen, verändern und schreiben. Außerdem lassen sich Bilder dynamisch generieren, weshalb es auch im Bereich der Webanwendungen verwendet wird. Bis Version bestand in ImageMagick eine Schwachstelle, bei der die Funktionen ReadDCMImage()" und "ReadXCFImage()" mittels speziell präparierter DCM und XCF dazu verleitet werden können, eine Endlosschlaufe auszuführen, was dazu führt dass ein Denial of Service entsteht. ImageMagick schliesst mit seiner neuen Version eine ganze Reihe von Schwachstellen, die im Allgemeinen als kritisch einzustufen sind. Das bedingt vor allem die Tatsache, dass ImageMagick oftmals auch in Kombination mit verschiedenen Schnittstellen auf Serversystemen zum Einsatz kommt. Es empfiehlt sich daher, die neue Version baldmöglichst auf produktiven Systemen zum Einsatz zu bringen. 3. Xitami "If-Modified-Since" Pufferüberlauf scip DB: Einstufung: kritisch Datum: scip DB: Xitami ist ein kleiner (ca. 1,5 MB) Open-Source- Webserver, der für viele Plattformen frei verfügbar ist, darunter Windows, verschiedene Linux- und Unix-Distributionen sowie BSD. Xitami unterstützt alle wichtigen Webstandards und wird aktiv weiterentwickelt. Zu den Neuerungen (6) zählen eine XML-Integration durch GSL-Scripts, eine kostenpflichtige SSL-Erweiterung und offene Plugin-Schnittstellen. Für die einfache Konfiguration besitzt Xitami auch eine Webschnittstelle. Krystian Kloskowski fand eine Schwachstelle in der aktuellen Version, bei der durch den HTTP Header If-Modified-Since ein Pufferüberlauf provoziert werden kann, der die Ausführung beliebigen Codes erlaubt. um eher bedeutungslose Derivate. Leider muss man im Anbetracht des fehlenden Patches hier dennoch die Empfehlung geben auf einer besser gewartetes Produkt umzusteigen. 3.3 VMWare DHCP Server Pufferüberlauf Remote: Teilweise Datum:.9.7 scip DB: VMware, genauer VMware, Inc., ist ein USamerikanisches Unternehmen, welches Software im Bereich der Virtualisierung herstellt. Die Firma wurde 1998 mit dem Ziel gegründet, eine Technik zu entwickeln, virtuelle Maschinen auf Standard Computern zur Anwendung zu bringen. Das bekannteste Produkt ist VMware Workstation. Das meiste Geld verdient VMware mit VMware Infrastructure. Neel Metha und Ryan Smith der ISS X-Force fanden einen Pufferüberlauf im DHCP Server, bei dem durch ein speziell manipuliertes DHCP Paket ein stack-basierter Pufferüberlauf entsteht, wodurch beliebiger Code zur Ausführung gebracht werden kann. In Zusammenarbeit mit VMWare wurden dieser Tage einige Schwachstellen in verschiedenen Produkten des Virtualisierungs-Primus veröffentlicht, die vielen Administratoren und Anwendern Kopfzerbrechen bereiten dürften. Zwar sind die meisten der besagten Schwachstellen lediglich als problematisch zu werten, dennoch besteht aber durch die hohe Verbreitung im Serverbereich eine durch existente Gefahr, die es empfehlenswert erscheinen lässt, den erschienenen kumulativen Patch baldmöglichst einzuspielen. Webserver stehen immer wieder als Ziel von Angriffen dieser Art unter Beschuss - egal ob es sich dabei um die grossen Namen wie Apache oder Lighty handelt, oder wie im vorliegenden Fall 1/19

11 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. Oktober sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Aug 7 - Sep 7 - Okt 7 - Aug 7 - Sep 7 - Okt sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit 6 1 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte 1 Format String Konfigurationsfehler 1 1 Pufferüberlauf Race-Condition 1 Schw ache Authentifizierung 1 Schw ache Verschlüsselung 1 SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff 4 1 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 11/19

12 scip monthly Security Summary Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 7 1/19

13 scip monthly Security Summary Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 1 Eingabeungültigkeit Fehlende Authentifizierung 1 3 Fehlende Verschlüsselung 4 Fehlerhafte Leserechte 3 1 Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung 1 SQL-Injection Symlink-Schw achstelle Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul Umgehungs-Angriff Unbekannt Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 7 13/19

14 scip monthly Security Summary Jan 3 - Mrz 3 - Mai 3 - Jul 3 - Sep 3 - Nov 4 - Jan 4 - Mrz 4 - Mai 4 - Jul 4 - Sep 4 - Nov 5 - Jan 5 - Mrz 5 - Mai 5 - Jul 5 - Sep 5 - Nov 6 - Jan 6 - Mrz 6 - Mai 6 - Jul 6 - Sep 6 - Nov 7 - Jan 7 - Mrz 7 - Mai 7 - Jul 7 - Sep Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 14/19

15 scip monthly Security Summary Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 15/19

16 scip monthly Security Summary Fachartikel 5.1 Im Körper des Feindes Stefan Friedli, Bei Aufträgen mit Schwerpunkt auf Penetration Testing werden wir, salopp gesagt, dafür bezahlt wie ein Angreifer zu denken. Es geht darum herauszufinden, was für eine Person mit böswilligen Absichten als Ziel interessant erscheint, wie er dieses Ziel in der Folge erreichen kann und was der Auftraggeber tun kann, um dieses Szenario nicht zur Realität werden zu lassen. Je nach Einsatzzweck einer Applikation fordert es mehr oder weniger Kreativität einen Angriffsvektor zu erarbeiten. Im Falle eines vor einigen Monaten durchgeführten Tests eines grossen Online-Versandhauses entschloss ich mich den Verkaufszahlen von Marcs Buch mittels einer Cross Site Request Forgery Attacke etwas auf die Sprünge zu helfen: Besuchte ein beliebiger Benutzer eine vorgängig präparierte Seite, so löste der darin enthaltene JavaScript Payload automatisiert die Bestellung von Exemplaren des besagten Werkes aus und gab als Rechnungs- und Versandadresse jeweils eine zufällige Adresse aus einem vorgängig sorgfältig zusammengestellten Adresspool des Schweizer Telefonbuches an. Im Testszenario wurde diese Bestellung natürlich lediglich einmal ausgeführt und umgehend storniert - schliesslich war ja zu diesem Zeitpunkt klar, dass hier Handlungsbedarf besteht. Nehmen wir aber an, diese Attacke hätte in der Realität stattgefunden: Der Payload hätte zum Beispiel auf einer hochfrequentierten MySpace- Seite oder einem entsprechenden Forum seinen Platz finden können, am besten mittels einer XSS-Schwachstelle, die es erlaubte ohne Interaktion des Benutzers direkt zur Tat zu schreiten - verwundbare Seiten gibt es dazu mehr als genug. Nehmen wir an, dass dort der Code ca. 1x pro Minute ausgeführt worden wäre - von verschiedenen Benutzern. Bereits nach 1 Minuten, wären in gut 1 Einzelbestellungen ' Bücher bestellt worden, mit einem Gesamtwert von läppischen 1'4' Schweizer Franken und mit Empfängeradressen versehen, deren Eigentümer nichts von ihrem Glück ahnten. Wenn man nun davon ausgeht, dass die meisten Firmen nicht in der Lage sein dürften, den genutzten Fehler innerhalb von zwei Stunden zu korrigieren, lassen sich diese Zahlen entsprechend skalieren. Alleine die Ressourcen, die ein betroffener Händler aufwenden müsste, alle falschen Bestellungen aus den meist automatisierten Warenwirtschaftssystemen zu löschen, würden einen enormen finanziellen Aufwand bedeuten - von den Kosten für wirklich ausgeführte Fehlsendungen ganz zu schweigen. Sicherlich eine nette Art und Weise, einem allfälligen Konkurrenten das Wochenende zu versüssen. Clients Bestellte Exemplare Zeitachse Payload 1 Minute Minuten Ein solches Szenario auszuarbeiten bedeutet verhältnismässig viel Arbeit, wenn man bedenkt, dass die zugrundeliegende Schwachstelle oftmals sehr simpel ist. Meist handelt es sich um eine Cross-Site-Scripting oder Cross-Site- Request-Forgery Schwachstelle, die es erlaubt einen Angriff aufzubauen. Die Simplizität dieser Angriffsvektoren ist auch der Grund, warum solche komplexen und detailierten Angriffsszenarien erst Sinn machen. Gerade die genannten Probleme werden oftmals kaum als solche ernstgenommen - warum auch, wenn sie in den meisten Fällen damit demonstriert werden, dass ein Angreifer in der Lage ist mittels Javascript eine Alert Box mit der Meldung "XSS" einzublenden, ohne dabei zu erklären, was eben noch alles möglich wäre. Und verglichen mit dem, was technisch im Bereich des Möglichen liegt, ist auch der obenstehende Angriff sehr trival. Andere Dimensionen Seit letztem Sommer arbeite ich an einer Applikation mit dem Projektnamen SWARM. Im Grunde genommen handelt es sich dabei um eine Sammlung einzelner Module, die dem Zweck dienen Angriffe auf Webapplikationen schneller und effizienter zu gestalten, um die Gefahren entsprechender Lücken besser illustrieren zu können. SWARM erlaubt es, mehrere Schwachstellen zu bündeln und für einen oder mehrere von der initialen Ladestelle unabhängigen Angriff zu verwenden. Part 1: Infect Unterhaltsame Videos, schlüpfrige Bilder und witzige Spielereien - im Internet wird heute in der Welt des Web. bestimmt niemandem mehr langweilig. Überall gibt es multimedialen Content, was unterhält verbreitet sich mittels Digg, Yigg, MySpace und Konsorten in Windeseile um die 16/19

17 scip monthly Security Summary ganze Welt. Das bunte Treiben ist in technologischer und soziologischer Hinsicht spannend zu beobachten und auch kritische Zeitgenossen können sich ein Schmunzeln ob des jüngsten Hypes oftmals nur schwerlich verkneifen. SWARM initiiert sich selber, indem ein Script Tag aus einer infizierten Seite geladen wird. Damit diese Tags ihren Weg in die entsprechenden Seiten finden, gibt es zwei Varianten: a) die Seite ist verwundbar für irgendeine Art der Script Injection oder b) die Seite obliegt der Kontrolle des Angreifers. So würde sich zum Beispiel eine rasch zusammengestellte Seite mit einigen Episoden einer populären Sitcom, die online angesehen werden können sicherlich gut als Ausgangspunkt eignen. Lädt ein Benutzer den entsprechenden Code, so meldet er sich beim SWARM-, dem zentralen Verwaltungsserver an und erhält eine eindeutige ID, der aus einem Fingerprint seiner Eigenschaften (Auflösung, User-Agent, Sprachen, IP- Bereich des Hostsystems etc.) generiert wird. Anhand dessen wird der Client auch wieder erkannt, wenn er eine andere Seite mit SWARM Loader ansprechen würde. Das ist notwendig, weil SWARM ansonsten die Kontrolle jedes Mal ohne Restore-Möglichkeit verlieren würde, wenn der Benutzer die Seite wechselt. Ist der Benutzer erst einmal registriert, so holt er in regulären Abständen Befehle von SWARM- ab, die er im Hintergrund ausführt. Als ersten Befehl erhält er vom SWARM den Befehl ein unsichtbares Flash- Objekt in die eben aufgerufene Seite zu laden, das zur Ausführung bestimmter Befehle verwendet wird. Part : Maintain Der Angreifer kontrolliert die aktiven SWARM- Clients mittels der zentralen Konsole SWARM-. Hier kann er verschiedene Aktionen zuweisen, die daraufhin von den selektieren Clients ausgeführt werden. Nehmen wir nun z.b. an, der Angreifer möchte einen Angriff wie den eingangs beschriebenen starten, so könnte er direkt den entsprechend Payload zu Ausführung an die Clients schicken ohne dabei die Kontrolle über allfällige weitere Aktionen zu verlieren. Er kontrolliert quasi ein flüchtiges Botnet auf Webbasis, dessen Knotenpunkte bei entsprechend gut besuchten, infizierten Seiten in relativ rascher Folge rotieren. Es werde Licht Wie vorher beschrieben, steht dem Angreifer zu diesem Zeitpunkt ein Pool von Maschinen zur Verfügung, die z.b. eine gewisse Anfrage auf Befehl ausführen können. Er kann beliebige Daten mittels GET und POST an beliebige Orte senden. Nur das Problem ist: Er sieht die Antworten nicht. Das Problem hierbei ist die sogenannte same-origin Policy. Ein Beispiel: Lädt die Seite die Seite in einem iframe, so wird diese zwar in die Seite auf eingebunden, allerdings kann diese nicht lesend auf deren Inhalt zugreifen. Der Browser erkennt, dass es sich um eine andere Seite handelt und verwehrt den entsprechenden Zugriff. Würde die Seite aber in sein iframe laden, so wäre ein Zugriff möglich - schliesslich handelt es sich ja um dieselbe Domain. Er könnte entsprechend den kompletten DOM Tree auslesen und manipulieren. SWARM enthält zu diesem Zweck einen kleinen Pseudo-Nameserver, der als Teil von SWARM- als Nameserver der entsprechenden Domain dient. Als Beispiel verwenden wir hier die Domäne swarmtest.local. Der Loader unter kann theoretisch auf alle Ressourcen der Domäne swarmtest.local zugreifen. Nehmen wir nun als Beispiel einmal an, der Angreifer möchte die Seite aufrufen lassen und den Mitgliedernamen eines eingeloggten Mitgliedes an das Management Center zurücksenden, so wandelt SWARM die Adresse in um. Der Browser des Opfers kennt diese Adresse nicht und startet eine DNS Anfrage. Diese landet aufgrund der Domäne swarmtest.local bei unserem Pseudonameserver, der die gewünschte Domain oder IP-Adresse aus der Anfrage extrahiert, gegebewww.ebay.ch SWARM- Loader swarm.local 17/19

18 scip monthly Security Summary nenfalls auflöst und zurückgibt. Der Browser des Opfers denkt nun, dass die IP-Adresse - die ja auf ebay.ch zeigt - zur Adresse gehört und gewährt dem Loader vollen Zugriff auf die entsprechenden Inhalte. Die Möglichkeiten, die sich dem Angreifer hier in Kombination mit geschicktem Scripting bieten sind fast unlimitiert: Zum Beispiel kann er automatisiert feststellen, welche der momentanen SWARM-Clients über eine aktive ebay-session verfügen und automatisiert Gebote für von ihm definierte Auktionen abgeben oder die entsprechenden Passwörter verändern. Diese Angriffsart, im allgemeinen DNS Rebinding genannt, ist übrigens nicht neu. Im Gegenteil, sie ist relativ alt: Sie wurde bereits im Februar 1997 vom Department of Computer Science der Princeton University im Dokument Secure Internet Programming: DNS Attack Scenario 1 besprochen. Dabei wurde aufgezeigt, wie nicht vertrauenswürdige Java Applets eine Verbindung zu einem beliebigen Host aufbauen können. Heute, zehn Jahre später stehen uns neue Technologien zur Verfügung, die Lücke jedoch ist immer noch die selbe. Die Universität Stanford bewies indes 7, dass es durchaus möglich ist mit Infrastruktur im Wert von lediglich 1$ über 1' IP Adressen temporär in einer Art zu nutzen, die der von SWARM ähnelt. Das grundlegende Design des Domain Name Systems lässt es kaum zu, diesem Problem entgegenzuwirken. Zumindest nicht, ohne gleichzeitig möglicherweise noch weit grössere Probleme damit zu verursachen. Zwar wurde mit dem sogenannten DNS Pinning eine Gegenmassnahme in Browsern implementiert, bedingt durch die heutige Verwendung einer Vielzahl von Plugins allerdings keinen wirklichen Schutz mehr bieten kann. Bedigt dadurch, dass die meisten Applikationen eigenständige Pin- Listen führen, bleiben derartige Angriffe dennoch problemlos möglich. Interessant wird der Einsatz von DNS Rebinding dann, wenn man bedenkt dass der Angreifer im Prinzip stets mit den Augen des Opfers auf die aufzurufenden Seiten sieht. Der Browser des Opfers ruft die Seite auf und leitet ihm den Inhalt weiter. Das heisst auch, dass er unabhängig allfälliger Firewalls Zugriff auf die lokalen Netzwerkressourcen des Opfers hat. Oder - im Falle eines aktiven SWARM-Netzes - auf alle lokalen Netzwerkressourcen aller aktiven Clients. Somit steht es einem Angreifer theoretisch offen, zum Beispiel einen Portscan des lokalen Netzwerkbereiches vorzunehmen und interessante Ressour- cen wie z.b. Netzwerkgeräte (Router, Switches, Access Points) mit Standardcredentials an das zentrale Management zu melden. Damit steht es dem Angreifer theoretisch offen, seinen Zugang zu einem einzelnen Netzwerk auszuweiten und so mehr Kontrolle zu erlangen. Gut oder Böse? SWARM ist mehr ein Proof of Concept als eine produktive Applikation. Defakto wird sie nie öffentlich erhältlich, geschweige denn käuflich zu erwerben sein. Im Gegenteil: SWARM soll zu eigenen Gedankenspielen anregen und das Bewusstsein und auch das Verständnis für teils als banal geltende, teils designbedingte Schwachstellen in der aktuellen Implementation von Webbrowsern fördern. Somit wäre es wohl sinnlos, SWARM überhaupt als gut oder böse taxieren zu wollen. Letzten Endes bleibt es ein Werkzeug, dessen Zweck von dem bestimmt wird, der es führt. Fakt ist aber, dass ähnliche Produkte bereits heute von Spammern und ähnlichem Klientel aktiv genutzt wird Grund genug für die gute Seite, sich intensiver mit solchen Mechanismen zu beschäftigten. Zusammenfassung SWARM ist eine zentralisiert funktionierende Steuerzentrale, die mittels Javascript und/oder Flash eine Vielzahl von Clients in Form regulären bis zu einem gewissen Mass fernsteuern kann. Durch den Einsatz verschiedener Techniken (u.a. DNS Rebinding) kann der Angreifer damit lesend und schreibend auf alle Ressourcen zugreifen, die dem Webbrowser des jeweiligen Opfers zugänglich sind. Dies umschliesst interne/externe Netzwerkressourcen sowie beliebige Webseiten. SWARM befindet sich derzeit noch in Entwicklung und ist nicht öffentlich verfügbar. Eine Veröffentlichung der Applikation ist nicht geplant, das zur Verfügung stellen der technischen Dokumentation ist dagegen vorgesehen /19

19 scip monthly Security Summary Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 19/19