s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Risikomanagement am Beispiel der Kernkraft Man erinnert sich ungern an die Zeit des Zwischenfalls in Fukushima. Zu real ist die Bedrohung, die von Zwischenfällen wie diesem ausgeht. Als die Ereignisse noch sehr frisch waren, wurden rege und emotional die Risiken von Kernkraftwerken diskutiert. Plötzlich schien sich jeder mit den Risiken entsprechender Lösungen auszukennen. Tatsächlich - und dies habe ich in meinem unmittelbaren Umfeld erfahren - wurde sehr viel Halbwissen und Unsinn erzählt. Ein Grossteil der Leute, die sich nicht mit Risikomanagement auskennen, haben für die rigorose Abschaltung sämtlicher Kernkraftwerke plädiert. Dem hatte ich jeweils nur ein Wort entgegenzusetzen: Wieso? Tragweite der Auswirkungen eines Zwischenfalls illustriert. Das Risiko der Eintrittswahrscheinlichkeit, und diese ist für die Erfüllung der Auswirkungen zwingend erforderlich, wurde noch nicht angesprochen. In den allermeisten Fällen ist jetzt der Zeitpunkt erreicht, bei dem sich die Leute argumentativ in die Enge gedrängt fühlen. Man bezieht sich dann schnell auf Fukishima, das nicht für die Situation von Erdbeben und Tsunami ausgerichtet wurde. Man habe bei der Erarbeitung der Anlage Risiken ignoriert. Offensichtlich konnte die Anlage nicht mit den besagten Ereignissen umgehen. Es handelt sich aber auch um ein bis dato einmaliges Ereignis, das sich statistisch nicht in offensichtlicher Weise voraussagen liess. Also eine Eventualität, die schlichtweg ignoriert werden musste. Ein gewisses Entsetzen zeichnet sich auf den Gesichtern meiner Gesprächspartner ab. Risiken ignorieren? Nein, sowas dürfe man niemals tun, wird dann gesagt. Doch wir tun es jeden Tag. Wir überqueren die Strasse, manchmal sogar abseits des Fussgängerstreifens, obwohl ein realistisches Risiko eines Unfalls besteht. Im Auto fahren wir mehr als 2 km/h, obwohl erst ab dieser Geschwindigkeit das Risiko eines Schleudertraumas besteht. usw. Das Leben besteht im Abschätzen, Vermindern und Akzeptieren von Risiken. Manche Risiken will man nicht akzeptieren. Manche Risiken kann man verringern. Kann oder will man gewisse Risiken nicht vermindern, spricht man von Restrisiken. Die spontanen Antworten waren, dass man Kernkraft schlichtweg nicht sicher betreiben könne. Und spätestens dann, wenn das Wort "sicher" gefallen ist, dann fühle ich mich in der Diskussion zu Hause. Denn so stellte ich die nächste Frage: Wieso ist es denn nicht sicher? Kernkraftwerke seien nicht sicher, weil sich bei einem Zwischenfall verheerende Folgen entfalten würden. Explosion und atomare Strahlung würden in unmittelbarer und langwieriger Weise zu Krankheit und Tod führen. Dem will ich nicht widersprechen, doch beantwortet es meine Frage nicht. Damit wird schliesslich nur die hohe Mit den Restrisiken muss man leben. Wollen wir Strom aus Kernkraft, dann müssen wir die Restrisiken akzeptieren. Betrachtet man die Eintrittswahrscheinlichkeit von gefährlichen Zwischenfällen, dann wurden die Risiken soweit sehr gut verringert. Sie aber gänzlich zu eliminieren, das bleibt auch hier - genauso wie beim Autofahren - schlichtweg nicht möglich. Wenn wir nun rigoros Kernkraft abschalten, dann müssten wir genauso rigoros Fussgänger und das Fahren mit mehr als 2 km/h verbieten. Und viele andere Sachen auch (Alkohol, Lifte/Treppen, Pilze, etc.). Stattdessen sollten wir 1/15

2 scip monthly Security Summary den geplanten Ausstieg aus der Atomkraft angehen und endlich auf erneuerbare Energiegewinnung setzen. Die Rückkehr zu Kohlekraftwerken darf beispielsweise nicht passieren, denn dies wäre meines Erachtens ein schlimmer Rückschritt. Auch wenn das akute Risiko, wie man es von der Kernkraft her kennt, hier nicht bestehen bliebe. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 19. März 2 2. scip AG Informationen 2.1 Penetration Test Das Ziel unserer Dienstleistung Penetration Test ist die Identifikation vorhandener Sicherheitslücken sowie die Definierung der Tragweite dadurch möglicher erfolgreicher Attacken durch Angreifer. Der Kunde hat ein abgesichertes System vorliegen, das er mittels Ethical Hacking untersucht haben möchte. Um eine wissenschaftliche und wirtschaftliche Optimierung des Auftrags erreichen zu können, wird eine Whitebox-Analyse empfohlen: Der Kunde legt nach Möglichkeiten sämtliche Details zum Zielobjekt offen (IP- Adressen etc.). Somit kann unser Red Team auf eine langwierige Datensammlung verzichten und stattdessen das Expertenwissen auf die Fachgebiete fokussieren. Das Umsetzen von Penetration Tests basiert zu grossen Teilen auf der systematischen Vorgehensweise, wie sie im Buch Die Kunst des Penetration Testing unseres Herrn Marc Ruef dokumentiert wurde. Scanning: Identifizieren von möglichen Angriffsflächen. Auswertung: Eingrenzen potentieller Angriffsvektoren, die sich im Rahmen eines konkreten Angriffsszenarios angehen lassen. Exploiting: Zielgerichtetes Ausnutzen ausgemachter Sicherheitslücken (Proof-of- Concept). Ein Penetration Test lässt eine konkrete und verlässliche Aussage bezüglich der existenten Sicherheit eines Systems zu. Die Ausnutzbarkeit von Schwachstellen sowie die Tragweite erfolgreicher Attacken können exakt bestimmt werden, wodurch sich weitere Schritte wie z.b. Risiken akzeptieren oder Gegenmassnahmen einleiten, planen lassen. Dank unserem ausgewiesenen Expertenwissen kann die scip AG auf eine Vielzahl von Penetration Tests auf unterschiedliche Plattformen, Applikationen und Lösungen zurückblicken. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Simon Zumstein unter der Telefonnummer oder senden Sie im eine Mail an simon.zumstein@scip.ch. 2/15

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Inhalt Das Dienstleistungspaket VulDB Alert System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind: sehr kritisch 3 kritisch 6 18 problematisch McAfee Web Gateway HTTP Header Host Field Parser CONNECT Request erweiterte Rechte 5176 Squid Proxy HTTP Header Host Field Parser CONNECT Request erweiterte Rechte 58 Microsoft SQL Server CREATE DATABASE SQL Injection 547 Microsoft.NET Framework Parameter Validator erweiterte Rechte 544 Microsoft Internet Explorer SelectAll Handler 543 Microsoft Internet Explorer OnReadyStateChange 542 Microsoft Internet Explorer JScript9 541 Microsoft Internet Explorer Printing 576 PHP html&#95error file&#95get&#95contents() Cross Site Scripting 563 Google Chrome Applying Style Command Handler 562 Google Chrome Media Handler [CVE-374] 561 Google Chrome SVG Resource Handler 559 Google Chrome HTMLMediaElement Handler 579 Cisco WebEx Player WRF File Handler 578 Cisco WebEx Player WRF File Handler atas32.dll 577 Cisco WebEx Player WRF File Handler atdl6.dll 553 Novell imanager Web Interface jclient Create Attribute 524 IBM Cognos TM1 Admin Server 511 TYPO3 Backend Cross Site Scripting [CVE-2-166] 4977 D-Link DCS-565 DcsCliCtrl.dll SelectDirectory() 4947 RealNetworks RealPlayer MP4 File Handler mp4fformat.dll 4949 Apache Struts File Upload XSLTResult.java XSLT File Command Injection 4955 Apache Traffic Server HTTP Header Parser 497 FreePBX callme&#95page.php erweiterte Rechte 3.1 McAfee Web Gateway HTTP Header Host Field Parser CONNECT Request erweiterte Rechte Datum: VulDB: Eine kritische Schwachstelle wurde in McAfee Web Gateway 7. entdeckt. Betroffen ist eine unbekannte Funktion der Komponente HTTP Header Host Field Parser. Durch das Beeinflussen durch CONNECT Request kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf die Integrität. Als bestmögliche Massnahme wird das Einsetzen von restriktivem Firewalling empfohlen. 3.2 Squid Proxy HTTP Header Host Field Parser CONNECT Request erweiterte Rechte Datum: VulDB: In Squid Proxy wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente HTTP Header Host Field Parser. Mittels dem Manipulieren durch CONNECT Request kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf die 3/15

4 scip monthly Security Summary Integrität. Als bestmögliche Massnahme wird das Anwenden von restriktivem Firewalling empfohlen. 3.3 Microsoft SQL Server CREATE DATABASE SQL Injection Datum: VulDB: In Microsoft SQL Server 5/8/8R2 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist die Funktion CREATE DATABASE. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine SQL Injection- Schwachstelle ausgenutzt werden. Dadurch lässt sich Datenbank zugreifen. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. Ein Upgrade auf die Version MSSQL Server 8: apply SP3, MSSQL Server 8 R2: nofix, MSSQL Server 5: no fix. vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches SP3 beheben. Dieser kann von microsoft.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach vorab 3.4 Microsoft.NET Framework Parameter Validator erweiterte Rechte Datum: VulDB: In Microsoft.NET Framework bis 4 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Parameter Validator. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. 3.5 Microsoft Internet Explorer SelectAll Handler Datum: VulDB: In Microsoft Internet Explorer bis 9 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente SelectAll Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches KB beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.6 Microsoft Internet Explorer OnReadyStateChange Datum: VulDB: Es wurde eine kritische Schwachstelle in Microsoft Internet Explorer bis 9 entdeckt. Dies betrifft eine unbekannte Funktion der Komponente OnReadyStateChange. Durch das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches KB lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort Die Schwachstelle lässt sich durch das Einspielen des Patches ms12-25 lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.7 Microsoft Internet Explorer JScript9 Datum: VulDB: 4/15

5 scip monthly Security Summary Eine kritische Schwachstelle wurde in Microsoft Internet Explorer bis 9 entdeckt. Betroffen ist eine unbekannte Funktion der Komponente JScript9. Das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Die Schwachstelle lässt sich durch das Einspielen des Patches KB beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.8 Microsoft Internet Explorer Printing Datum: VulDB: In Microsoft Internet Explorer bis 9 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Printing. Durch die Manipulation mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle lässt sich durch das Einspielen des Patches KB lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Problem kann zusätzlich durch den Einsatz von Google Chrome, Mozilla Firefox, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort 3.9 PHP html&#95error file&#95get&#95contents() Cross Site Scripting Datum: VulDB: Es wurde eine kritische Schwachstelle in PHP 5.3.1/5.4. entdeckt. Dies betrifft die Funktion file_get_contents() der Komponente html&#95error. Die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Als bestmögliche Massnahme wird das Deaktivieren der betroffenen Komponente empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach unmittelbar 3.1 Google Chrome Applying Style Command Handler Datum: VulDB: Eine kritische Schwachstelle wurde in Google Chrome entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Applying Style Command Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 3.11 Google Chrome Media Handler [CVE-374] Datum: VulDB: In Google Chrome wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Media Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Upgrade auf die Version vermag dieses Problem zu beheben. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 5/15

6 scip monthly Security Summary Google Chrome SVG Resource Handler Datum: VulDB: Es wurde eine kritische Schwachstelle in Google Chrome entdeckt. Dies betrifft eine unbekannte Funktion der Komponente SVG Resource Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 3.13 Google Chrome HTMLMediaElement Handler Datum: VulDB: In Google Chrome wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente HTMLMediaElement Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort 3.14 Cisco WebEx Player WRF File Handler Datum: VulDB: Es wurde eine kritische Schwachstelle in Cisco WebEx Player bis entdeckt. Dies betrifft eine unbekannte Funktion der Komponente WRF File Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Ein Aktualisieren auf die Version (T27 LC SP25 EP1) vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar 3.15 Cisco WebEx Player WRF File Handler atas32.dll Datum: VulDB: Eine kritische Schwachstelle wurde in Cisco WebEx Player bis entdeckt. Betroffen ist eine unbekannte Funktion in der Bibliothek atas32.dll der Komponente WRF File Handler. Das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dadurch lässt sich Programmcode ausführen. Dies hat Ein Upgrade auf die Version (T27 LC SP25 EP1) vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar 3.16 Cisco WebEx Player WRF File Handler atdl6.dll Datum: VulDB: In Cisco WebEx Player bis wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion in der Bibliothek atdl6.dll der Komponente WRF File Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dies hat Ein Aktualisieren auf die Version (T27 LC SP25 EP1) / (T27 LD SP32 CP1) vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Cisco hat demnach unmittelbar 6/15

7 scip monthly Security Summary Novell imanager Web Interface jclient Create Attribute Datum: VulDB: In Novell imanager bis Patch 3 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist die Funktion jclient Create Attribute der Komponente Web Interface. Durch die Manipulation des Arguments EnteredAttrName mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Ein Aktualisieren auf die Version Patch 4 vermag dieses Problem zu lösen. Das sofort nach der Veröffentlichung der Schwachstelle. Novell hat demnach unmittelbar 3.18 IBM Cognos TM1 Admin Server Datum: VulDB: Eine kritische Schwachstelle wurde in IBM Cognos TM entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Admin Server. Das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. IBM hat demnach unmittelbar 3.19 TYPO3 Backend Cross Site Scripting [CVE-2-166] Datum: VulDB: Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Ein Aktualisieren auf die Version , , vermag dieses Problem zu lösen. Dieses kann von typo3.org bezogen werden. Das sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach unmittelbar 3.2 D-Link DCS-565 DcsCliCtrl.dll SelectDirectory() Datum: VulDB: Es wurde eine kritische Schwachstelle in D-Link DCS / entdeckt. Dies betrifft die Funktion SelectDirectory() in der Bibliothek DcsCliCtrl.dll. Durch das Manipulieren mit einer unbekannten Eingabe kann eine -Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit, Integrität und Die Schwachstelle kann durch das Filtern von tcp/8, tcp/443 mittels Firewalling mitigiert werden RealNetworks RealPlayer MP4 File Handler mp4fformat.dll Datum: VulDB: Es wurde eine kritische Schwachstelle in RealNetworks RealPlayer 15.. entdeckt. Dies betrifft eine unbekannte Funktion in der Bibliothek mp4fformat.dll der Komponente MP4 File Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dies hat Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. In TYPO3 bis /4.5.14/4.6.7, ein Content Management System, wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente Backend. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting Apache Struts File Upload XSLTResult.java XSLT File Command Injection Datum: /15

8 scip monthly Security Summary VulDB: Eine kritische Schwachstelle wurde in Apache Struts entdeckt. Betroffen ist eine unbekannte Funktion in der Bibliothek XSLTResult.java der Komponente File Upload. Durch das Beeinflussen durch XSLT File kann eine Command Injection-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach vorgängig Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an Apache Traffic Server HTTP Header Parser Datum: VulDB: Eine kritische Schwachstelle wurde in Apache Traffic Server 3..3/3.1.2 entdeckt. Betroffen ist eine unbekannte Funktion der Komponente HTTP Header Parser. Durch das Beeinflussen des Arguments $_SERVER['HOST'] mit einer unbekannten Eingabe kann eine - Schwachstelle ausgenutzt werden. Dies hat Ein Aktualisieren auf die Version 3..4/3.1.3 vermag dieses Problem zu lösen. Das direkt nach der Veröffentlichung der Schwachstelle. Apache hat demnach sofort 3.24 FreePBX callme&#95page.php erweiterte Rechte Datum: VulDB: Eine kritische Schwachstelle wurde in FreePBX entdeckt. Betroffen ist eine unbekannte Funktion der Komponente callme&#95page.php. Durch das Beeinflussen des Arguments action mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Auswirkungen auf Vertraulichkeit und Integrität. Die Schwachstelle lässt sich durch das Einspielen des Patches Unofficial Patch lösen. Dieser kann von archives.neohapsis.com bezogen werden. Das Erscheinen einer 8/15

9 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an info-at-scip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Auswertungsdatum: 19. März sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr problematisch kritisch sehr kritisch 3 Verlauf der letzten drei Monate Schwachstelle/Schweregrad Unbekannt Authentisierung 3 umgehen 1 Code Injection Command Injection 2 Cross Site Request Forgery Cross Site Scripting Denial of Service Designfehler Directory Traversal 1 3 Eingabeungültigkeit erweiterte Dateirechte 1 2 erweiterte Leserechte 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 2 Information Disclosure 3 3 Konfigurationsfehler 14 Programmcode ausführen 19 Race Condition Race-Condition Redirect Remote File Inclusion Schwache Authentifizierung Schwache Verschlüsselung Spoofing 2 5 SQL Injection SQL-Injection 6 Symlink-Schwachstelle 5 1 Verlauf der letzten drei Monate Schwachstelle/Kategorie 9/15

10 scip monthly Security Summary Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode sehr kritisch 1 3 kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2 1/15

11 scip monthly Security Summary Unbekannt 1 94 Authentisierung umgehen 1 3 Code Injection 1 Command Injection 5 2 Cross Site Request Forgery Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte erweiterte Leserechte 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String 1 2 Information Disclosure Konfigurationsfehler 14 Programmcode ausführen Race Condition Race-Condition Redirect Remote File Inclusion Schwache Authentifizierung Schwache Verschlüsselung Spoofing 2 5 SQL Injection SQL-Injection 6 Symlink-Schwachstelle 5 1 Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2 11/15

12 scip monthly Security Summary Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Quartal seit / sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Quartal seit /3 12/15

13 scip monthly Security Summary Unbekannt Authentisierung umgehen 4 Code Injection 1 Command Injection 7 Cross Site Request Forgery 1 1 Cross Site Scripting Denial of Service Designfehler Directory Traversal Eingabeungültigkeit erweiterte Dateirechte 4 erweiterte Leserechte 1 erweiterte Rechte erweiterte Zugriffsrechte Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Information Disclosure Konfigurationsfehler Programmcode ausführen Race Condition Race-Condition Redirect 1 Remote File Inclusion 1 Schwache Authentifizierung Schwache Verschlüsselung Spoofing 1 6 SQL Injection 3 2 SQL-Injection Symlink-Schwachstelle Verlauf der Anzahl Schwachstellen/Kategorie pro Quartal seit / /15

14 scip monthly Security Summary Labs In unseren scip Labs werden unter regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Kompromittierung einer Sprachmailbox Marc Ruef, maru-at-scip.ch Um auf eine Sprachmailbox (engl. Voic ) zugreifen zu können, muss sich bei dieser Authentisiert werden. Hierzu werden zwei unterschiedliche Verfahren eingesetzt: 1. Identifikation anhand der Rufnummer 2. Authentisierung anhand einer PIN Die erstgenannte Möglichkeit wird typischerweise genutzt, um die Nachrichten für die eigene Nummer abhören zu können. Die zweite Möglichkeit wird als Alternative eingesetzt, wobei durch Fernzugriffe auf ab anderen Geräten die Nachrichten abgehört werden können. Angriffe auf Sprachmailbox Das Klonen und Spoofen von Telefonnummern ist jenachdem möglich, bedingt aber ein relativ hohes Verständnis für die zugrundeliegenden Technologien. Zudem muss die Konfiguration der Umgebung und des Routings, welche durch den Telefonanbieter vorgenommen wird, verschiedene Schwächen aufweisen (z.b. kein Durchsetzen von Rufnummern, kein striktes Routing). Diese Angriffsmöglichkeit wird heutzutage am ehesten im Voice-over-IP Bereich interessant. Das Kompromittieren einer Sprachmailbox wird aber typischerweise durch die Möglichkeit des Fernzugriffs umgesetzt. Diese Angriffstechnik ist verhältnismässig primitiv und auch aus anderen Bereichen übertragbar. Hierzu wird ein Anruf auf die Sprachmailbox getätigt und dann versucht den PIN zu erraten. Viele Telekommunikationsanbieter erlauben bis stellige PINs. Diese sind oftmals bei der Aufschaltung einer Nummer vordefiniert und es wurde immerwieder berichtet, dass Standard-PINs (z.b oder die letzten 4 Stellen der Telefonnummer) zum Tragen kommen. Der Benutzer kann in der Regel seinen PIN ändern und auch hier ist das altbekannte Problem der Wahl schwacher Passwörter zu beobachten. Gern genutze PINs sind in der Regel (in dieser Hinsicht ist die statistische Auswertung von Daniel Amitay wegweisend): Einfach zu merkende Zahlenreihen (z.b. 1234, 1515) Geburtsdaten, Jahrestage (z.b. 7, 1981) Muster auf der Tastatur (z.b. 1245, 258) Manche Anbieter erlauben ein beliebiges Durchprobieren des PINs bis zur erfolgreichen Authentisierung. Dadurch werden Bruteforce-Attacken, die sich mit entsprechenden DTMF-Lösungen automatisieren lassen, möglich. Bestimmte Anbieter benachrichtigen hingegen den Anschlussinhaber per SMS, falls eine mehrfache Falscheingabe erfolgt ist. Konnte sich Zugriff auf die Sprachmailbox verschafft werden, können entsprechende Manipulationen vorgenommen werden. Einerseits lassen sich die Konfigurationseinstellungen ändern (z.b. Funktion abschalten, PIN ändern). Andererseits können die bestehenden Mitteilungen abgehört und gelöscht werden. Desweiteren besteht in der Regel die Möglichkeit, einen Rückruf umzusetzen. Dabei wird der Absender einer vorliegenden Nachricht zurückgerufen. Interessant dabei ist, dass oftmals der Anruf selbst nicht vom externen Gerät, sondern vom Anschluss der abgehörten Sprachmailbox getätigt wird. Auf dem Display des zurückgerufenen Geräts wird sodann die Rufnummer Sprachmailbox angezeigt und auch auf diesen Anschluss eine Verrechnung vorgenommen. Durch diese Angriffstechnik wird es möglich, dass zusätzliche Kosten generiert werden. Der Angreifer ruft von einer kostenpflichtigen Nummer, die sich in seinem Besitz befindet, auf die Sprachmailbox an. Danach wählt er sich in diese ein und initiiert einen Rückruf. Die dabei anfallenden Kosten werden dem Opfer aufgerechnet. Gegenmassnahmen In erster Linie kann sich der Telefonanbieter darum bemühen, Massnahmen zum Verhindern bzw. Erschweren dieser Angriffsmöglichkeit einzuführen. Fehlerhafte Login-Versuche auf die Sprachmailbox sollten protokolliert und ausgewertet werden. Mehrmalige Zugriffe dieser Art sollten eine Benachrichtigung des Anschlussinhabers und eine temporäre Sperrung von Fernzugriffen (diese kann auch nur ein paar Minuten anhalten) zur Folge haben. Zudem kann der Telefonanbieter darum bemüht sein, mittels Anomaly Detection ein abnormales Anrufverhalten zu identifizieren. Normalerweise werden zum Beispiel innerhalb einer Woche 5 Anrufe getätigt, bei denen Kosten von CHF 14/15

15 scip monthly Security Summary anfallen. Werden die Woche darauf drei Mal so viele Anrufe und ein fünffaches Kostenvolumen identifiziert, sollte wiederum der Anschlussinhaber informiert und bei extremen Abweichungen eine Anrufsperre durchgesetzt werden. (Uns sind Fälle bekannt, bei denen die Kosten eines erfolgreichen Betrugs das hundertfache der üblichen Kosten erreicht hat.) Der Telefonanbieter sollte beim Einrichten der Sprachmailbox entweder Fernzugriffe gänzlich sperren oder einen zufällig gewählten PIN vordefinieren. Ebenso sind Benutzer angehalten, die von ihnen gewählten PINs möglichst lang und komplex ausfallen zu lassen. Ein regelmässiges Ändern der PINs (z.b. einmal pro Jahr) reduziert das Fenster für erfolgreichen Missbrauch erheblich. 6. Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T info-at-scip.ch Zuständige Person: Marc Ruef Security Consultant T maru-at-scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 15/15