s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Fluch der Funktionalität Glaubt man der Definition, so sind Browser spezielle Computerprogramme, mit denen sich Textdateien betrachten lassen. Diese wiederum enthalten den darzustellenden Inhalt sowie gewisse Metainformationen in HTML, einer textbasierten Auszeichnungssprache. Vergleichen wir diese Beschreibung mit einem aktuellen Browser, wie etwa Firefox 2 oder Internet Explorer 7 so fällt uns auf, dass das eine ziemlich bescheidene Beschreibung des Funktionsumfangs darstellt. Tatsächlich können heutige Webbrowser ein Vielfaches dessen, was ursprünglich einmal als Sinn und Zweck eines derartigen Programms angesehen wurde. Sie können mächtige Scriptsprachen interpretieren und nicht nur mit Text, sondern auch mit Bildern, Musik, Videos und einer Vielzahl weiterer Formate umgehen. Die Hersteller von Webbrowsern haben schnell begriffen, dass die Möglichkeiten des Internets nicht auf die Verbreitung reiner Textdokumente beschränkt sind eine Annahme, die sich derzeit in Form des Web 2. -Booms vollumfänglich bestätigt. In Sicherheitsfragen haben Browserhersteller dagegen seit jeher weniger Glück. So kämpft Microsoft schon seit 1995 gegen eine Vielzahl von Schwachstellen, mit variablem Erfolg. In den letzten Jahren sind, mit der exponential zunehmenden Verbreitung dynamischer Webapplikationen, viele neue Angriffsvektoren populär geworden, die den Wohlfühlfaktor des Internets empfindlich gefährden. Die existenten Gefahren sind relativ einfach zu erfassen. Die klassische Variante ist das Ausnutzen einer (ungepatchten) Schwachstelle im Browser. Eine präparierte Webseite nutzt den Fehler aus, um einen Angriff zu realisieren. Diesem Prinzip liegt auch der einst populäre con/con Denial-of-Service Angriff zugrunde, bei dem unter Windows 95 und 98 durch den Aufruf der Adres-se file://c:/con/con per Link oder Bildquelle ein Systemabsturz provoziert werden konnte. Was damals lediglich ärgerlich für die Betroffenen war, wird heute primär zur Verbreitung von Malware und zur Kompromittierung von Systemen als Teil eines Botnetzes verwendet. Dabei spielt es auch eine untergeordnete Rolle, ob ein Patch für eine bestimmte Schwachstelle bereitgestellt wurde. Die Angewohnheit vieler Benutzer, Sicherheitsupdates als eher unwichtig einzustufen, führt dazu dass solche Fallen früher oder später immer ein Opfer finden. Bei einer weiteren Variante bietet nicht der Browser eine Angriffsfläche, sondern eine verwundbare Webapplikation, deren Benutzer damit zum Ziel werden. In diese Kategorie gehören zum Beispiel die überstrapazierten Schlagwörter Cross-Site-Scripting (XSS) und Cross-Site-Request-Forging (XSRF). Das Ziel ist es dabei, die Vertrauensstellung des Benutzers zur verwundbaren Webseite auszunutzen. Gelingt es einem Angreifer zum Beispiel eine persistente XSS-Attacke umzusetzen, so kann er mittels Javascript das Cookie jeden Users an eine vorgängig eingerichtete Sammelstelle schicken, was in der Regel die Übernahme der Sitzung ermöglicht oder zumindest erleichtert. Ausserdem eröffnet sich dem Angreifer die Möglichkeit, beliebigen Schadcode auf dieser Webseite ausführen zu lassen, was unter Umständen weitaus ernstere Konsequenzen nach sich ziehen kann, als den reinen Verlust der eigenen Session. All dies ist nicht neu, im Gegenteil: Es ist eine bekannte und oft angesprochene Problematik, was auch dazu führt, dass viele 1/19

2 scip monthly Security Summary Webseitenbetreiber dazu übergegangen sind, Schutzmassnahmen umzusetzen die mal mehr, mal weniger von Erfolg gekrönt solche Angriffe verhindern sollen. Die Schwierigkeit, das Problem solcher Angriffe in den Griff zu kriegen, liegt vor allem in der Vielzahl von Angriffsmöglichkeiten die sich bieten. Gerade weil ein Webbrowser, wie eingangs erwähnt, unter Zuhilfenahme von Plugins mit nahezu jedem Dateiformat umgehen kann, steigt die Wahrscheinlichkeit dass sich in einem dieser Zusatzmodule eine Schwachstelle finden lässt. So ermöglichte eine Lücke in Quicktime den ersten MySpace Wurm und die Universal XSS Verwundbarkeit in Adobe Reader, die am 23C3 von Stefano Di Paola and Giorgio Fedon im Rahmen Ihres Vortrages vorgestellt wurde, ist ein hervorragendes Beispiel für die Problematik. Die letztgenannte Schwachstelle erlaubt es, mittels eines präparierten Links auf ein, auf dem Zielserver befindlichen, PDF Dokument beliebigen Javascript-Code (und somit nahezu alle vorgehend genannten Angriffsformen) auszuführen Vorraussetzung ist lediglich, dass das Opfer das Dokument mittels Browser-Plugin lädt was der Standardeinstellung entspricht. Weiterhin lässt sich die Lücke auch lokal (per file://-link), was je nach Interesse des Angreifers sogar interessanter sein dürfte.zum Zeitpunkt dieses Artikels sind offizielle Patches von Adobe verfügbar. Ausserdem kann die Lücke serverseitig geschlossen werde, clientseitig bietet sich als Workaround das Deaktivieren der Open PDF in Browser -Option an. Es ist davon auszugehen, dass andere Formate das Schicksal von PDF teilen werden, sofern sie es nicht bereits tun. Quicktime, Flash, diverse Bild- und Audioformate, Microsoft proprietäre Office-Formate: Sie alle bieten potentiellen Spielraum für Attacken, denen es vorzubeugen gilt. Eine anspruchsvolle Aufgabe für das noch junge Jahr. Stefan Friedli <stfr-at-scip.ch> Security Consultant Zürich, 17. Januar 7 2. scip AG Informationen 2.1 Securing Citrix Zentralisierte Lösungen wie Citrix erfreuen sich aufgrund sicherheitstechnischer und wirtschaftlicher Vorteile vor allem im professionellen Umfeld immer grösserer Beliebtheit. Dennoch birgt eine derartig umfassende Multiuser-Umgebung erhebliches Risikopotential in sich. Durch einfache Tricks können Citrix- Benutzer ihre Rechte erweitern und im schlimmsten Fall mit wenigen Mausklicks die Kontrolle des Hosts erlangen. Es gilt diesen Risiken mit adäquaten Massnahmen zu begegnen respektive bereits beim Design der Umgebung diesen Risiken Rechnung zu tragen und bestmöglich zu verhindern. Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen setzen namhafte Unternehmen auf die sicherheitstechnische Unterstützung der scip AG. Zählen auch Sie auf uns: Citrix Application Penetration Test Citrix Configuration Test Citrix Security Audit Event Correlation, Handling und Alerting Hardening Konzeption Konzept Review Second Opinion Kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer oder senden Sie im eine Mail an chwi@scip.ch Gerne unterstützen wir Sie bei der erfolgreichen Umsetzung einer sichereren Citrix Infrastruktur. 2.2 Die Kunst des Penetration Testing [Arbeitstitel] Der C&L Computer- und Literaturverlag GmbH 6 Verlag hat das neue Buch von Marc Ruef, Security Consultant und Leiter des Auditing Teams der scip AG, nun offiziell auf ihrer Webseite ( [Penetration Testing (Ruef)]) angekündigt. Das Fachwerk erscheint im dritten Quartal 7 und wird unter ISBN geführt. Ein absoluter Pflichtkauf und informativer Lesestoff für jeden Information Security Interessierten! 2/19

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Dez 6 Jan 7 sehr kritisch kritisch problematisch Contents: 3.1 FreeBSD bis 6.2-RELEASE jail rc.d Symlink-Schwachstelle 3.2 Snort bis Rule Matching Algorithmus Denial of Service 3.3 Cisco IOS bis 12.4 DLSw-Nachrichten Denial of Service 3.4 MIT Kerberos bis kadmin mechglue Fehlermeldungen Pufferüberlauf 3.5 MIT Kerberos bis xprt->xp_auth pointers Pufferüberlauf 3.6 Adobe Acrobat Reader bis 7..9 korruptes PDF-Dokument Heap-Overflow 3.7 Adobe ColdFusion MX bis 7..2 CFM- Datei doppelt codierte NULL-Bytes erweiterte Leserechte 3.8 Sun ONE/iPlanet Web Server 4.x /search NS-max-records Cross Site Scripting 3.9 Microsoft Windows, XP und Server 3 Vector Markup Language Heap- Overflow 3.1 Microsoft Outlook bis 3 Office Saved Searches korrupte OSS-Datei Pufferüberlauf 3.11 Microsoft Outlook bis 3 VEVENT- Einträge korruptes Meeting Pufferüberlauf 3.12 Microsoft Excel bis 3 korrupte XLS- Datei in Internet Explorer erweiterte Rechte 3.13 Microsoft Internet Explorer bis 6 IFRAME XML-Dokumente neu laden erweiterte Rechte 3.14 Novell Access Manager 3 /nidp/idff/sso IssueInstant Cross Site Scripting 3.15 Cisco Secure ACS bis 4.1 CSRadius korrupte RADIUS Accounting-Anfrage Stack- Overflow 3.16 Cisco Secure ACS bis 4.1 CSAdmin korrupte HTTP GET-Anfrage Stack-Overflow 3.17 OpenOffice bis 2.1 korrupte WMF/EMF- Datei Heap-Overflow 3.18 Adobe Acrobat Reader bis 7..8 URL- Aufruf javascript: Cross Site Scripting 3.19 Apple Quicktime bis RTSP-URL langer src-parameter Stack-Overflow 3.2 Microsoft Windows und XP NetrWkstaUserEnum() RPC-Anfrage maxlen Denial of Service 3.21 Microsoft Windows bis Vista CSRSS WINSRV.DLL MessageBox() \??\ erweiterte Rechte 3.22 TYPO3 rtehtmlarea bis useruid OS- Command Injection 3.23 TYPO3 bis 4..3 spell-check-logic.php useruid OS-Command Injection 3.24 Mono bis System.web Klasse HTTP-Anfrage %2 anhängen erweiterte Leserechte 3.25 Sun Java JRE bis 1.5.x unbekannter Fehler erweiterte Rechte 3.26 Novell Netware bis 6.5 SP6 Welcome webapp Cross Site Scripting 3.27 Sun Java JRE bis 5. Update 8 Input-Array Stack-Overflow 3.1 FreeBSD bis 6.2-RELEASE jail rc.d Symlink-Schwachstelle Remote: Teilweise Datum: scip DB: Die BSD-Betriebssysteme basieren auf Unix. Es gibt verschiedene Arten und Abkömmlinge, die sich jedoch in ihren Grundzügen stark gleichen. Jail kann unter Unix-Systemen für eine Applikation eine künstliche und autonome Umgebung erzeugt werden. Die Anwendung und die Nutzer sind sodann nicht in der Lage, aus dem ihnen zugewiesenen Umfeld auszubrechen. Dies ist vor allem bei Netzwerkanwendungen sinnvoll, die durch eine Schwachstelle erweiterte Rechte versprechen könnten. Durch einen Fehler 3/19

4 scip monthly Security Summary im jail-skript in rc.d kann ein lokaler Angreifer durch eine Symlink-Schwachstelle erweiterte Rechte erlangen. Details zum Vorgehen sind im Original-Advisory enthalten. Ein automatisierter Exploit ist hingegen nicht bekannt. Das FreeBSD- Team hat dedizierte Patches für alle betroffenen Versionen herausgegeben. Dies ist eine sehr interessante Schwachstelle, bei der es in erster Linie verwunderlich ist, dass sie erst jetzt ans Tageslicht gekommen ist. BSD im Zusammenspiel mit Jail galt immer als sehr sicher - An diesem Mythos wird dieser Fehler ein bisschen zu kratzen vermögen. Sollten auf einem System mehrere unabhängige Jail-Anwendungen zum Einsatz kommen, ist das sofortige Einspielen der entsprechenden Patches unabdingbar. 3.2 Snort bis Rule Matching Algorithmus Denial of Service Datum: scip DB: Snort ist eine beliebte, netzwerkbasierende opensource Intrusion Detection-Lösung. Die drei Studenten Randy Smith, Christian Estan und Somesh Jha der University of Wisconsin- Madison haben in einer umfassenden Arbeit die Ineffizienz des Rule Matching Algorithmus von Snort bewiesen. Sodann wird es möglich, dass durch spezielle Zugriffe eine Überlastung des Systems und damit eine Denial of Service- Attacke erzwungen werden kann. Theoretische Details sind in der besagten Abhandlung enthalten. Als Workaround wird der Einsatz eines alternativen IDS-Systems empfohlen. Weiss ein Angreifer, dass das Zielnetzwerk durch ein Snort-System geschützt wird, wird er alles daran setzen, seine Zugriffe möglichst unauffällig durchzuführen. Eine einfache aber brachiale Evasions-Technik ist in einer Denial of Service- Attacke gegen die entsprechenden Sensoren gegeben. Um dem Angreifer keine Chance zu lassen, das Intrusion Detection-System zu umgehen, sollte man auf die neueste Version updaten. 3.3 Cisco IOS bis 12.4 DLSw- Nachrichten Denial of Service Die Firma Cisco hat sich einen Namen mit ihren Netzwerkelementen - Switches und Router - gemacht. Internet Operating System (IOS) wird die Firmware von Cisco-Routern genannt. Im Advisory cisco-sa-711-dlsw wird eine Schwachstelle bezüglich des DLSw-Features (Data-link Switching) festgehalten. Durch eine korrupte DLSw-Nachricht kann ein Angreifer ein verwundbares Element zum Absturz bringen. Voraussetzung dazu ist, dass das entsprechende Feature aktiviert wurde. Technische Details oder ein Exploit sind nicht bekannt. Cisco hat das Problem durch einen Patch adressiert. Angriffe auf Cisco-Elemente sind aufgrund ihrer Verbreitung sehr beliebt. So kann man an dieser Stelle von Glück sprechen, dass sich dieser Remote-Angriff nur durchführen lässt, wenn auf dem verwundbaren System DLSw eingesetzt wird. Trotzdem sollte man die Zugriffe mit der ip permit-funktion limitieren und die nötigen Patches einspielen, um möglichst wenig Angriffsfläche zu bieten. 3.4 MIT Kerberos bis kadmin mechglue Fehlermeldungen Pufferüberlauf Datum: scip DB: Datum: scip DB: Kerberos ist ein etabliertes System zur sicheren Authentisierung von Benutzern und Systemen. Auf praktisch allen wichtigeren Plattformen sind entsprechende Implementierungen gegenwärtig. Wie das MIT meldet, existiert ein Pufferüberlauf bei kadmin. Das Problem betrifft mechglue während der Generierung von Fehlermeldungen. Dadurch kann ein Angreifer beliebigen Programmcode ausführen lassen. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch aktualisierte Versionen behoben. Die hohe Verbreitung von Kerberos sowie die Möglichkeiten eines Angriffs machen diese Schwachstelle für eine Vielzahl an Angreifern sehr interessant. Jedoch ist das Risiko eingedämmt, da die Sicherheitslücke nur unter gewissen Umständen ausnutzbar ist. Administratoren werden angehalten so schnell 4/19

5 scip monthly Security Summary wie möglich ihre Systeme zu überprüfen und im Notfall unverzüglich Gegenmassnahmen einzuleiten. Es ist damit zu rechnen, dass in den kommenden Tagen ein Exploit erscheinen wird. 3.5 MIT Kerberos bis xprt- >xp_auth pointers Pufferüberlauf Datum: scip DB: Kerberos ist ein etabliertes System zur sicheren Authentisierung von Benutzern und Systemen. Auf praktisch allen wichtigeren Plattformen sind entsprechende Implementierungen gegenwärtig. Wie das MIT meldet, existieren mehrere Pufferüberlauf-Schwachstellen bei xprt->xp_auth pointers Konstrukten. Dadurch kann ein Angreifer beliebigen Programmcode ausführen lassen. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch aktualisierte Versionen behoben. Die hohe Verbreitung von Kerberos sowie die Möglichkeiten eines Angriffs machen diese Schwachstelle für eine Vielzahl an Angreifern sehr interessant. Jedoch ist das Risiko eingedämmt, da die Sicherheitslücke nur unter gewissen Umständen ausnutzbar ist. Administratoren werden angehalten so schnell wie möglich ihre Systeme zu überprüfen und im Notfall unverzüglich Gegenmassnahmen einzuleiten. Es ist damit zu rechnen, dass in den kommenden Tagen ein Exploit erscheinen wird. 3.6 Adobe Acrobat Reader bis 7..9 korruptes PDF-Dokument Heap- Overflow Datum: scip DB: Der Acrobat Reader der Firma Adobe ist eine Software für das Interpretieren, Darstellen und Drucken von PDF-Dokumenten. Besonders in der Geschäftswelt ist dieses Dateiformat sehr gern aufgrund seiner hohen Verbreitung, Kompatibelität und der dargelegten Komprimierung gern genutzt. Piotr Bania fand einen heap-basierten Pufferüberlauf in den Versionen bis Durch die Interpretation eines korrupten PDF-Dokuments kann entsprechend beliebiger Programmcode ausgeführt werden. Technische Details sind im Original-Advisory enthalten. Ein Exploit ist hingegen nicht bekannt. Das Problem wurde laut Adobe in den Versionen 7..9 sowie 8. behoben. Dieses Problem könnte zu einem Ärgernis werden. Der eine oder andere Angriff könnte durchaus umgesetzt werden, denn der Umgang mit PDF-Dokumenten wird gut und gerne gepflegt. Firewall- und Mail-Systeme filtern nur selten PDF-Dokumente, so dass das Einschleusen von Code in ein internes Netzwerk eine existente Möglichkeit darstellt. Gegenmassnahmen, also das Informieren der Mitarbeiter und/oder das Einspielen der aktuellen Version, sollten also in den kommenden Tagen umgesetzt werden. 3.7 Adobe ColdFusion MX bis 7..2 CFM-Datei doppelt codierte NULL- Bytes erweiterte Leserechte Datum: scip DB: ColdFusion ist ein kommerzieller, ursprünglich von der Firma Macromedia entwickelter Applikations-Server für Unix, Linux und Windows. Inge Henriksen lässt über idefense eine Schwachstelle in den Versionen bis 7..2 veröffentlichen. Durch das Anfüngen doppelt codierter NULL-Bytes an eine CFM-Datei kann ein Angreifer beliebige Dateien auf dem Webserver lesen. Technische Details oder ein Exploit sind nicht bekannt. Adobe hat das Problem frühzeitig anerkannt und einen Patch für die Veröffentlichung vorbereitet. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Vor allem, da WebLogic gerne in Betrieben eingesetzt wird, ist diese Schwachstelle für Erlangungs-Angriffe sehr interessant. Es ist nur eine Frage der Zeit, bis der Check in die gängigen CGI-Scanner miteinfliesst. Umso wichtig und dringend ist es erforderlich, die Gegenmassnahmen zur Sicherung der Umgebung vorzunehmen. 5/19

6 scip monthly Security Summary Sun ONE/iPlanet Web Server 4.x /search NS-max-records Cross Site Scripting Datum: scip DB: Der Sun ONE Messaging Server (ehemals iplanet) ist eine kommerzielle Mail-Plattform aus dem Hause Sun Microsystems Inc. Eine unter dem Pseudonym Khalsa agierende Person hat eine Cross Site Scripting-Schwachstelle in der Version 4.x publik gemacht. Mit einem Aufruf der Form wird es möglich, eigenen Script-Code im Kontext des Webservers ausführen zu lassen. Weitere Details zu den Hintergründen der Schwachstelle sind nicht bekannt. Ebenso, ob und inwiefern Sun frühzeitig über das Problem informiert wurde. Zur aktuellen Stunde wird lediglich empfohlen, den Zugriff auf verwundbare Systeme mittels erweiterten Proxy- Lösungen zu schützen. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Vor allem, da WebLogic gerne in Betrieben eingesetzt wird, ist diese Schwachstelle für Erlangungs-Angriffe sehr interessant. Es ist nur eine Frage der Zeit, bis der Check für die Datei /search in die gängigen CGI- Scanner miteinfliesst. Umso wichtig und dringend ist es erforderlich, die Gegenmassnahmen zur Sicherung der Umgebung vorzunehmen. 3.9 Microsoft Windows, XP und Server 3 Vector Markup Language Heap-Overflow Datum: scip DB: Microsoft Windows ist ein professionelles Betriebssystem, das jedoch nach und nach durch den Nachfolger Microsoft Windows XP bzw. Server 3 abgelöst wird. Über idefense wurde nun gemeldet, dass es zu Problemen bei der Interpretation der Vector Markup Language (VML) kommen kann. Ein Angreifer sieht sich durch einen Heap-Overflow in der Lage, beliebigen Programmcode auszuführen. Weitere Details oder ein Exploit sind nicht bekannt. Microsoft hat das Problem mit dem Patchday Januar 7 adressiert. Ein Workaround, dieser wird im idefense-advisory dokumentiert, kann in der Registry umgesetzt werden. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Einige neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. 3.1 Microsoft Outlook bis 3 Office Saved Searches korrupte OSS- Datei Pufferüberlauf Remote: Indirekt Datum: scip DB: Microsoft Outlook ist ein sehr beliebter Mail-Client (SMTP, POP3 und IMAP4) für die Windows- Reihe. Im Rahmen des Patchday Januar 7 hat Microsoft drei kritische Schwachstellen in den gegenwärtigen Versionen behoben. Eine davon betrifft Office Saved Searches. Durch das Öffnen einer korrupten OSS-Datei lässt sich eine Denial of Service-Attacke durchführen oder beliebiger Programmcode ausführen. Es ist damit zu rechnen, dass es sich hierbei um eine Pufferüberlauf-Schwachstelle handelt. Einem solchen Angriff müsste voraussichtlich Social Engineering vorausgehen. Weitere Details oder ein Exploit sind nicht bekannt. Dieser sowie die zwei anderen Fehler in Outlook wurden durch einen kumulativen Patch, der unter MS7-3 (KB925938) diskutiert wird, behoben. Man sollte umgehend den herausgegebenen Patch einspielen. Vor allem, weil er gleich drei Schwachstellen zeitgleich zu beheben in der Lage ist Microsoft Outlook bis 3 VEVENT-Einträge korruptes Meeting Pufferüberlauf Datum: scip DB: Microsoft Outlook ist ein sehr beliebter Mail-Client (SMTP, POP3 und IMAP4) für die Windows- Reihe. Im Rahmen des Patchday Januar 7 6/19

7 scip monthly Security Summary hat Microsoft drei kritische Schwachstellen in den gegenwärtigen Versionen behoben. Eine davon betrifft VEVENT-Einträge. Durch das Umsetzen eines korrupten ICAL-Meetings (.ICS) lässt sich eine Denial of Service-Attacke durchführen oder beliebiger Programmcode ausführen. Es ist damit zu rechnen, dass es sich hierbei um eine Pufferüberlauf-Schwachstelle handelt. Weitere Details oder ein Exploit sind nicht bekannt. Dieser sowie die zwei anderen Fehler in Outlook wurden durch einen kumulativen Patch, der unter MS7-3 (KB925938) diskutiert wird, behoben. Dieses Problem ist ziemlich schwerwiegend, denn die Schwachstelle ist sehr einfach und über das Netzwerk/Internet auszunutzen (Exploits sind absehbar) und verspricht die volle Übernahme der Benutzerrechte. Aus diesem Grund sollte man umgehend den herausgegebenen Patch einspielen. Vor allem, weil er gleich drei Schwachstellen zeitgleich zu beheben in der Lage ist Microsoft Excel bis 3 korrupte XLS-Datei in Internet Explorer erweiterte Rechte Microsoft Excel ist eine sehr gern eingesetzte Tabellenkalkulation, die eine Vielzahl an Funktionalitäten zur Verfügung stellt. Im Microsoft Security Bulletin MS7-2 wird auf eine kritische Schwachstelle in den gegenwärtigen Versionen von Microsoft Excel hingewiesen. Wird eine korrupte XLS-Datei innerhalb des Microsoft Internet Explorers geöffnet, liessen sich Denial of Service-Attacke auf diesen durchführen oder gar beliebigen Code ausführen. Weitere Details oder ein Exploit sind nicht bekannt. Microsoft hat einen Patch im Patchday Januar 7 herausgegeben. Diese Schwachstelle ist dieses Mal nicht nur für Viren-Entwickler interessant. Da die installierte Basis, bestehend aus Excel und Internet Explorer, sehr gross ist, wird eine Vielzahl an verschiedenen Angreifertypen einen Vorteil aus der Sicherheitslücke ziehen wollen. Spätestens dann, wenn ein konstruktiver Exploit zur Ausführung beliebigen Programmcodes die Runde macht, ist mit einer Vielzahl an Übergriffen zu rechnen. Microsoft tat deshalb gut daran, sich dem Problem schnellstmöglich anzunehmen Microsoft Internet Explorer bis 6 IFRAME XML-Dokumente neu laden erweiterte Rechte Datum: scip DB: Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Einmal mehr hat Michal Zalewski in der englischsprachigen Security-Mailingliste Full- Disclosure eine kritische Schwachstelle im Internet Explorer publiziert. Durch eine fehlerhafte Synchronisation, werden denn fortwährend XML-Dokumente in einem IFRAME neu geladen, kann in erster Linie eine Denial of Service-Attacke realisiert werden. Mitunter sollten sich damit aber auch produktive Attacken realisieren lassen. Zalewski hat einen proof-ofconcept Exploit, mit dem sich der Webbrowser abstürzen lassen lässt, mitgegeben. Als Workaround wird empfohlen, keine Webseiten unbekannter oder zwielichtiger Herkunft aufzusuchen bzw. einen alternativen Webbrowser (z.b. Opera) einzusetzen. Dieser Angriff ist sehr kritisch, da er zusammen mit anderen Schwachstellen zur kompletten Kompromitierung des Systems führen kann, ohne dass der Benutzer überhaupt etwas davon mitbekommen könnte. Es ist daher umso wichtiger, schnellstmöglich Gegenmassnahmen zu ergreifen und beim Erscheinen eines Patches diesen unverzüglich auf den betroffenen Systemen einzuspielen Novell Access Manager 3 /nidp/idff/sso IssueInstant Cross Site Scripting Datum: scip DB: Novell Access Manager 3 stellt eine zentrale Lösung für Unternehmenssicherheit und Zugriffskontrolle dar, die Web Single Sign On und barrierefreien Fernzugriff auf Unternehmensdaten kombiniert. Wie der Hersteller nun eingestehen muss, existiert mit dem Parameter IssueInstant im Skript /nidp/idff/sso eine Cross Site Scripting- Schwachstelle. Durch diese kann ein Angreifer 7/19

8 scip monthly Security Summary beliebigen Script-Code im Kontext der Webseite ausführen. Technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Es ist nur eine Frage der Zeit, bis der Check für die betroffene Komponente in die gängigen CGI-Scanner miteinfliesst Cisco Secure ACS bis 4.1 CSRadius korrupte RADIUS Accounting-Anfrage Stack-Overflow Datum: scip DB: Die Firma Cisco hat sich einen Namen mit ihren Netzwerkelementen - Switches und Router - gemacht. Cisco Secure ACS ist in CSRadius gegen einen stackbasierten Pufferüberlauf verwundbar. Durch eine korrupte RADIUS Accounting-Anfrage kann über die Schwachstelle beliebiger Programmcode ausgeführt werden. Technische Details oder ein Exploit sind nicht vorhanden. Cisco hat dedizierte Patches für die betroffenen Versionen herausgegeben. Diese Schwachstelle ist ein klassischer Pufferüberlauf. Trotzdem wird diese Sicherheitslücke eher weniger für Angreifer in Frage kommen, denn die Verbreitung des verwundbaren Systems ist doch nicht so hoch. Relativ selten wird man im Internet über einen verwundbaren Host stolpern. Cisco ist es zudem gelungen, diese Schwachstelle erst nach dem Erscheinen entsprechender Patches publik zu machen. Es liegt nun an den Administratoren und Benutzern, den Bugfix einzuspielen und unerlaubte Zugriffe zu blockieren Cisco Secure ACS bis 4.1 CSAdmin korrupte HTTP GET- Anfrage Stack-Overflow Datum: scip DB: Die Firma Cisco hat sich einen Namen mit ihren Netzwerkelementen - Switches und Router - gemacht. Cisco Secure ACS stellt ein webbasierendes Interface namens CSAdmin zur Verfügung, welches sich an den TCP-Port 2 bindet. So haben nun CESG Vulnerability Research Group und NISCC eine Pufferüberlauf- Schwachstelle bei diesem Dienst gefunden. Durch eine korrupte HTTP GET-Anfrage kann über die stackbasierte Schwachstelle beliebiger Programmcode ausgeführt werden. Technische Details oder ein Exploit sind nicht vorhanden. Cisco hat dedizierte Patches für die betroffenen Versionen herausgegeben. Diese Schwachstelle ist ein klassischer Pufferüberlauf. Trotzdem wird diese Sicherheitslücke eher weniger für Angreifer in Frage kommen, denn die Verbreitung des verwundbaren Systems ist doch nicht so hoch. Relativ selten wird man im Internet über einen Host stolpern, der eine CSAdmin-Schnittstelle zur Verfügung stellt. Cisco ist es zudem gelungen, diese Schwachstelle erst nach dem Erscheinen entsprechender Patches publik zu machen. Es liegt nun an den Administratoren und Benutzern, den Bugfix einzuspielen und unerlaubte Zugriffe auf dem CSAdmin-Port zu blockieren OpenOffice bis 2.1 korrupte WMF/EMF-Datei Heap-Overflow Datum: scip DB: Openoffice ist eine Office-Alternative zum gleichnamigen und kommerziellen Produkt aus dem Hause Microsoft. In einem Bug-Report wurde gemeldet, dass in den Versionen bis 2.1 bei der interpretation von korrupten WMF- oder EMF-Dateien ein Heap-Overflow angesetzt werden kann. Ein Angreifer kann damit beliebigen Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Zusammen mit dem Melden der Schwachstelle wurde ein eigens angefertigter Bugfix mitgeliefert. Das OpenOffice-Team hat aber mittlerweile selbst einen offiziellen Patch für die aktuelle Version herausgegeben. Ein solcher Angriff könnte sich gewisser Beliebtheit erfreuen und sich gar als Verbreitungsroutine für Computerwürmer und - viren eignen. Umso wichtiger ist es, dass man einen Patch installiert, damit das Zeitfenster eines erfolgreichen Angriffs (vielleicht sind im 8/19

9 scip monthly Security Summary Untergrund doch schon Exploits bekannt) möglichst gering gehalten werden kann Adobe Acrobat Reader bis 7..8 URL-Aufruf javascript: Cross Site Scripting Datum: scip DB: Der Acrobat Reader der Firma Adobe ist eine Software für das Interpretieren, Darstellen und Drucken von PDF-Dokumenten. Besonders in der Geschäftswelt ist dieses Dateiformat sehr gern aufgrund seiner hohen Verbreitung, Kompatibelität und der dargelegten Komprimierung gern genutzt. Stefano Di Paola und Giorgio Fedon haben eine Cross Site Scripting-Schwachstelle bei gehosteten und durch den Reader angezeigten PDF- Dokumenten gefunden. Durch einen URL-Aufruf der Form alert('xss');[/script] liesse sich beliebiger Script- Code ausführen. Ein Angreifer könnte so in den Besitz sensitiver Informationen kommen. Der Fehler wurde im Adobe Acrobat Reader 8.. behoben. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Dieser spezifische Angriff hier ist auf einen Fehler in einer Software zurückzuführen; das ist bei einer Cross Site Scripting Verwundbarkeit eher selten gesehen Apple Quicktime bis RTSP-URL langer src-parameter Stack-Overflow Datum: scip DB: Der Quicktime Player der Firma Apple wird seit vielen Jahren für die Wiedergabe von Multimedia-Dateien (z.b. mov) verwendet. Diese Software ist als Shareware-Version für verschiedene Betriebssysteme verfügbar. Im Rahmen des Month of Apple Bugs (MOAB) wurde die erste Schwachstelle im Apple Quicktime bis gefunden. Durch eine korrupte RTSP-URL, in der sich ein langer src- Parameter findet, kann ein stackbasierter Pufferüberlauf erzeugen lassen. Technische Details sind im Advisory enthalten. Ebenso ist auf ein in Python geschriebener Exploit verlinkt. Als Workaround wird empfohlen, keine QTL-Dateien unbekannter oder zwielichtiger Herkunft zu öffnen. Ebenso ist ein Workaround-Patch erschienen, der jedoch den Einsatz des Application Enhancer voraussetzt. Obschon die Idee von Month of Apple Bugs interessant erscheint, schiesst sie in gewisser Weise am Ziel vorbei. Denn so werden die Hersteller nicht oder nicht richtig über die Probleme informiert. Daraus resultiert, dass eine Vielzahl an kritischer Schwachstellen für ein Produkt bekannt wird, ohne dass sich die betroffenen Benutzer weiter schützen können. Es bleibt damit fragwürdig, was sich mit solchen Projekten beweisen lässt. 3.2 Microsoft Windows und XP NetrWkstaUserEnum() RPC- Anfrage maxlen Denial of Service Datum: scip DB: Die beiden Betriebssysteme Microsoft Windows und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. h7 hat eine kritische Denial of Service- Schwachstelle gefunden. Durch einen korrupten Werte in maxlen kann mit einer RPC-Anfrage der Fehler in der Funktion NetrWkstaUserEnum() ausgenutzt werden. Ein richtiges Advisory zur Schwachstelle wurde eigentlich nicht herausgegeben, sondern direkt ein Exploit auf milwrm.com publiziert. Microsoft hat noch nicht zum Problem reagiert. Als Workaround wird empfohlen, die NetBIOS-Ports 135 bis 139 sowie 445 mittels Firewalling zu sperren, bis ein Patch erscheint. Es durchaus möglich, dass die Popularität der Schwachstelle das Ausmass eines WinNuke95 oder SMBdie/SMBkill erlangen wird. Glücklicherweise handelt es sich um eine Denial of Service-Schwachstelle, bei der keine erweiterten Rechte erzwungen werden können. Wäre dies der Fall gewesen, hätte eine weitere Katastrophe ähnlich der W32.Blaster.Worm auf uns zusteuern können. Der einzige Unterschied 9/19

10 scip monthly Security Summary besteht laut Microsoft darin, dass nach erfolgreicher DoS-Attack kein automatischer Neustart erzwungen wird Microsoft Windows bis Vista CSRSS WINSRV.DLL MessageBox() \??\ erweiterte Rechte Die beiden Betriebssysteme Microsoft Windows und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Als nächste Windows-Version ist Vista angekündigt. Auf einer russischen Seite wurde eine schwerwiegende lokale Schwachstelle diskutiert. Kann in CSRSS der Titel oder Text einer Textbox mit \??\ beginnen, lässt sich durch einen Fehler in der Bibliothek WINSRV.DLL beliebiger Programmcode mit SYSTEM-Rechten ausführen. Ein erstaunlich keiner und in C geschriebener proof-of-concept Exploit zirkuliert schon längere Zeit im Untergrund und wurde mittlerweile auch an die Öffentlichkeit getragen. Der verfügbare Exploit führte bei einem Test von heise Security jedoch weder unter Windows XP mit Service Pack 2 noch unter Windows Vista zu einem Absturz des CSRSS-Dienstes oder des Rechners. Es wird ebenfalls darüber diskutiert, dass sich diese Schwachstelle unter Umständen auch remote ausnutzen lässt. Als Workaround wird lediglich empfohlen, dass Benutzern nur dann lokalen Zugriff gewährt wird, wenn sich diese als vertrauenswürdig erweisen. Ob ein Patch erscheinen oder das Problem kurzfristig im Release von Microsoft Windows Vista behoben werden wird, ist noch unklar. Dies ist wahrhaftig eine ernstzunehmende Schwachstelle, die zusätzlich an Brisanz gewinnt, weil auch Windows Vista davon betroffen sein wird. Umso wichtiger wird es also für Microsoft, dass der Sachverhalt ernst genommen und solide Gegenmassnahmen angestrebt werden. Spätestens wenn auf Remote-Attacken basierende Exploits hierzu erscheinen werden, lassen sich längerfristig Horror-Szenarios im Sinne eines Blaster-Wurms nicht mehr vermeiden TYPO3 rtehtmlarea bis useruid OS-Command Injection Remote: Indirekt Datum: scip DB: Datum: scip DB: TYPO3 ist ein populäres open-source Content Management System (CMS), das vorwiegend im professionellen Bereich eingesetzt wird. Es gibt eine Vielzahl an Extensions, mit denen die Core- Funktionalität von TYPO3 erweitert werden kann. Daniel Fabian und J. Greil haben zwei kritische Fehler im Zusammenhang mit TYPO3 entdeckt. Der Parameter useruid wird in der Extension rtehtmlarea nicht richtig überprüft. Dieser wird sodann direkt an den Aufruf von aspell übergeben, wodurch sich eigene Shell- Kommandos injizieren lassen. Ein proof-ofconcept Exploit ist im Original-Advisory enthalten. Das Entwicklerteam wurde frühzeitig informiert und hat das Problem mit der Version von rtehtmlarea behoben. Dieser Fehler ist durchaus kritisch, da die 3com- Elemente gerne genutzt sind, der Angriff einfach ausgenutzt werden kann und ein direkter Zugriff auf sensitive Informationen möglich ist. Es ist nur eine Frage der Zeit, bis die gängigen CGI- Scanner den Web-Zugriff automatisiert durchführen können - Und spätestens dann wird ein Mehr an Angriffe auf die entsprechenden Mono-Umgebungen festgestellt werden können TYPO3 bis 4..3 spell-checklogic.php useruid OS-Command Injection Datum: scip DB: TYPO3 ist ein populäres open-source Content Management System (CMS), das vorwiegend im professionellen Bereich eingesetzt wird. Es gibt eine Vielzahl an Extensions, mit denen die Core- Funktionalität von TYPO3 erweitert werden kann. Daniel Fabian und J. Greil haben zwei kritische Fehler in den aktuellen Versionen bis 4..3 entdeckt. Der Parameter useruid wird in sysext/rtehtmlarea/htmlarea/plugins/spellchecke r/spell-check-logic.php nicht richtig überprüft. Dieser wird sodann direkt an den Aufruf von aspell übergeben, wodurch sich eigene Shell- Kommandos injizieren lassen. Ein proof-ofconcept Exploit ist im Original-Advisory enthalten. 1/19

11 scip monthly Security Summary Das Entwicklerteam vom TYPO3 wurde frühzeitig informiert und hat das Problem mit der Version 4..3 behoben. Dieser Fehler ist durchaus kritisch, da die 3com- Elemente gerne genutzt sind, der Angriff einfach ausgenutzt werden kann und ein direkter Zugriff auf sensitive Informationen möglich ist. Es ist nur eine Frage der Zeit, bis die gängigen CGI- Scanner den Web-Zugriff automatisiert durchführen können - Und spätestens dann wird ein Mehr an Angriffe auf die entsprechenden Mono-Umgebungen festgestellt werden können Mono bis System.web Klasse HTTP-Anfrage %2 anhängen erweiterte Leserechte Datum: scip DB: Mono ist eine.net-kompatible Entwicklungsund Laufzeitumgebung für plattformunabhängige Software, basierend auf dem Common Language Infrastructure-Standard. Das Open-Source- Projekt wird hauptsächlich von Novell betrieben. José Ramón Palanco entdeckte eine Eingabeungültigkeit in den aktuellen Versionen bis Wird dort an einem URL-Aufruf die Zeichenkette %2 angehängt, wird automatisch der Quelltext einer Applikation angezeigt. Ein Angreifer kann also mit dem Aufruf der Form ttp:// in den Besitz sensitiver Informationen kommen. Zum Problem wurde ein Patch herausgegeben. Der Fehler wurde damit in der Subversion behoben. Dieser Fehler ist durchaus kritisch, da die 3com- Elemente gerne genutzt sind, der Angriff einfach ausgenutzt werden kann und ein direkter Zugriff auf sensitive Informationen möglich ist. Es ist nur eine Frage der Zeit, bis die gängigen CGI- Scanner den Web-Zugriff automatisiert durchführen können - Und spätestens dann wird ein Mehr an Angriffe auf die entsprechenden Mono-Umgebungen festgestellt werden können Sun Java JRE bis 1.5.x unbekannter Fehler erweiterte Rechte Datum: Java ist eine von Sun entwickelte plattformunabhängige Programmiersprache und nicht mit Java-Script zu vergleichen. Die Plattformunabhängigkeit wird dadurch erreicht, dass der kompilierte Programmcode zur Laufzeit interpretiert wird. Sehr gern wird Java auf Webseiten genutzt. Um den Missbrauch und erweiterte Rechte durch ein Java-Applet zu verhindern, wird dieses in einer sogenannten Sandbox ausgeführt. In dieser werden die Zugriffe auf Systemressourcen und Ressourcen anderer Benutzer oder Programme eingeschränkt oder gar verhindert. Im Dokument weist Sun auf einen nicht näher spezifizierten Fehler hin, dank dem aus der Sandbox ausgebrochen werden kann. Weitere Details oder ein Exploit sind nicht bekannt. Sun hat mit einem Fix für diese und die anderen Schwachstellen reagiert. Dieses Problem zeigt einmal mehr auf, dass die Schutzfunktionen von. Der Skeptizismus gegenüber dieser plattformunabhängigen Sprache ist also auch weiterhin nachvollziehbar Novell Netware bis 6.5 SP6 Welcome web-app Cross Site Scripting scip DB: Datum: scip DB: NetWare ist ein kommerzielles Serverbetriebssystem, das von Novell entwickelt wurde. Der Schwerpunkt ist dabei auf dem netzwerkweiten Bereitstellen von Datei-, Druckund Verzeichnisdiensten gegeben. Wie der Hersteller im Dokument meldet, existiert eine nicht näher spezifizierte Cross Site Scripting-Schwachstelle in der Welcome web-app Komponente. Details oder ein Exploit sind nicht bekannt. Es wird an einer Gegenmassnahme gearbeitet. Bisweilen wird in der Mitteilung darauf hingewiesen, dass in SYS:APACHE2/CONF/HTTPD.CONF der fehlbare Teil vorerst deaktiviert werden soll. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Man sollte sich des Risikos bewusst sein und falls möglich die im 11/19

12 scip monthly Security Summary Text genannten Vorsichtsmassnahmen anwenden Sun Java JRE bis 5. Update 8 Input-Array Stack-Overflow Datum: scip DB: Java ist eine von Sun entwickelte plattformunabhängige Programmiersprache und nicht mit Java-Script zu vergleichen. Die Plattformunabhängigkeit wird dadurch erreicht, dass der kompilierte Programmcode zur Laufzeit interpretiert wird. Sehr gern wird Java auf Webseiten genutzt. Um den Missbrauch und erweiterte Rechte durch ein Java-Applet zu verhindern, wird dieses in einer sogenannten Sandbox ausgeführt. In dieser werden die Zugriffe auf Systemressourcen und Ressourcen anderer Benutzer oder Programme eingeschränkt oder gar verhindert. Gleich drei kritische Schwachstellen, dank denen aus dieser Limitierung ausgebrochen werden kann, wurden von Chris Evans in seinem Advisory CESA-5-8 publiziert. Eine davon schlägt sich in einem Stack-Overflow nieder, wenn innerhalb eines Applets ein korruptes Input-Array verarbeitet werden soll. Ein Angreifer kann damit das Applet sowie die Java Runtime Environment zum Absturz bringen oder gar beliebigen Programmcode ausführen. Im besagten Advisory ist ein proof-of-concept Exploit enthalten. Sun hat mit einem Fix für diese und die anderen Schwachstellen reagiert. Dieses Problem zeigt einmal mehr auf, dass die Schutzfunktionen von Java nicht umfassend sind. Auch das Vorurteil, dass sich in Java keine Pufferüberlauf-Attacken umsetzen lassen, wird damit relativiert. Sehr wohl kann nämlich eine Schwachstelle innerhalb des Interpreters zu derartigen Problemen führen. Der Skeptizismus gegenüber dieser plattformunabhängigen Sprache ist also auch weiterhin nachvollziehbar. 12/19

13 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 18. Januar sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Nov Dez 7 - Jan Nov Dez 7 - Jan sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit 3 Fehlende Authentifizierung 1 Fehlende Verschlüsselung 1 1 Fehlerhafte Leserechte 2 2 Fehlerhafte Schreibrechte 1 1 Format String 1 2 Konfigurationsfehler Pufferüberlauf Race-Condition 2 1 Schw ache Authentifizierung 4 1 Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle 1 Umgehungs-Angriff 2 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 13/19

14 scip monthly Security Summary Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez Registrierte Schwachstellen by scip AG 6 2 Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez sehr kritisch kritisch 18 problematisch 22 Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 7 14/19

15 scip monthly Security Summary Jan 7 - Feb 7 - Mrz 7 - Apr 7 - Mai 7 - Jun 7 - Jul 7 - Aug 7 - Sep 7 - Okt 7 - Nov 7 - Dez Cross Site Scripting (XSS) 4 Denial of Service (DoS) 1 Designfehler 1 Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung 1 Fehlerhafte Leserechte 2 Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf 16 Race-Condition 1 Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle 1 Umgehungs-Angriff Unbekannt 4 Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 7 15/19

16 scip monthly Security Summary Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov 7 - Jan Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov sehr kritisch Dez kritisch problematisch Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez 7 - Jan Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 16/19

17 scip monthly Security Summary Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 17/19

18 scip monthly Security Summary Bilderrätsel GESUCHTE AUSDRÜCKE 2 Buchstaben (engl.) 7 Buchstaben (engl.) 3 Buchstaben (engl.) LÖSUNGSWORT Wettbewerb Mailen Sie uns das erarbeitete Lösungswort an die Adresse mailto:info@scip.ch inklusive Ihren Kontakt-Koordinaten. Das Los entscheidet über die Vergabe des Preises. Teilnahmeberechtigt sind alle ausser den Mitarbeiterinnen und Mitarbeitern der scip AG sowie deren Angehörige. Es wird keine Korrespondenz geführt. Der Rechtsweg ist ausgeschlossen. Gewinnen Sie einen Monat des Securitytracker Dienstes )pallas(. Einsendeschluss ist der Die GewinnerInnen werden nur auf ihren ausdrücklichen Wunsch publiziert. Die scip AG übernimmt keinerlei, wie auch immer geartete Haftung im Zusammenhang mit irgendeinem im Rahmen des Gewinnspiels an eine Person vergebenen Preises. Die Auflösung des Bilderrätsel finden Sie jeweils online auf unter Publikationen > scip monthly Security Summary > Errata. 18/19

19 scip monthly Security Summary Literaturverzeichnis scip AG, 19. Februar 6, scip monthly Security Summary, smss Feedback scip AG, 19. März 6, scip monthly Security Summary, smss Feedback Auswertung Ruef, Marc, 22. Dezember 1, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, Ruef, Marc, 2, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-2, Seiten 1-14, Ruef, Marc, Februar 4, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, Ruef, Marc, 3, Linux-Viren - Mythos oder Wirklichkeit?, Linux Enterprise Ausgabe: Impressum Herausgeber: scip AG Technoparkstrasse 1 CH-85 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 19/19