s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Wer rechnen kann, ist klar im Vorteil Die meisten von uns können sich sicher noch an die Schulzeit erinnern, als man sich in mühseliger Weise mit traditionellen Fächern wie Deutsch, Mathematik oder Physik herumärgern musste. Viele Schüler, gerade jene mit den weniger guten Noten, machen lautstark ihrem Ärger Dampf, indem sie unablässig darauf hinweisen, dass sie das vermeintliche Wissen ja sowieso nie brauchen werden. Da wird dann gesagt, dass Gross- /Kleinschreibung nutzlos wäre, weil es ja nur darum geht, dass einem der andere versteht. Oder das Berechnen einer Kantenlänge eines Rechtecks wäre nur dann sinnvoll, wenn man irgendwann ein Haus bauen will (was man angeblich nie tun wird). Und über die Halbwertszeit von Strontium 9Sr will ich erst gar nicht debattieren (Es ist eines der energiereichsten, langlebigsten Isotope, die Betastrahlung aussenden - Cool!). Computern oder das Herumkommandieren von Soldaten einsetzen würden (in manchem Fällen ist dies gar nicht mal so unterschiedlich). Dennoch kann man irgendwodurch jedem Schulwissen irgendetwas nützliches abgewinnen. Gehen wir davon aus, dass wir bei einer Militärmacht eingespannt sind, die die Schweiz als potentiellen oder effektiven Gegner deklariert hat. Nicht dass ich hoffe oder annehme, dass das gegenwärtig so ist. Es könnte jedoch theoretisch sein. Als Mitglied des militärischen Nachrichtendiensts, man ist als "unscheinbarer" Analyst angestellt, hat man die Medien der feindlichen Staaten im Auge zu behalten: Informationen zu politischen Veränderungen oder militärischen Anschaffungen sind von höchstem Interesse. Gehen wir nun weiterhin davon aus, dass in den Tagesmedien der Schweiz darauf hingewiesen wird, dass die eingesetzten F/A-18 Hornet mit AIM-9X Sidewinder-Raketen (Bambini-Code Siwa) ausgestattet werden sollen. Dabei wird auf das Rüstungsprogramm 3 hingewiesen, welches für die Anschaffung durch die Armasuisse eine Budgetierung von 115 Millionen Franken zugelassen hat. Die Anzahl der eingekauften Raketen unterliegt jedoch der Geheimhaltung. Ich kriege nun von meinem Vorgesetzten die Aufgabe gestellt herauszufinden, wieviele Raketen wohl angeschafft wurden. Dies ist mit einem kleinen Dreisatz lösbar. Wir wissen, wieviel Geld total ausgegeben wurde (115'' CHF). Es gilt nun herauszufinden, wieviel ein AIM-9X Sidewinder-Rakete kostet. Eigentlich sind wir selber im Besitz solcher Raketen bzw. kennen wir den Verkaufskatalog der US-Navy. Sind wir nicht im Besitz solcher Verbindungen, konsultieren wir das Internet. Dort wird das besagte Objekt zur Zeit mit einem Stückpreis von etwa 3' US-Dollar (ca. 35'35 CHF) angeboten. Man dividiert nun den Gesamtpreis durch den Stückpreis und erhält eine etwaige Anzahl eingekaufter Raketen: Die Nutzlosigkeit einiger der transportierten Wissensbrocken sowie die Herangehensweise der Vermittlung in unserem Schulsystem will ich nicht bestreiten. Viele Lehrer täten besser daran, wenn sie sich für die Programmierung von 115'' / 35'35 = 38,7 Unser Vorgesetzter wird erstaunt ab unseren Fähigkeiten sein. Er wird diese Information voller Freude an die zuständigen Stellen weiterreichen 1/1

2 scip monthly Security Summary und uns für eine Beförderung vorschlagen. Und dies alles nur, weil wir in der Lage waren, eine grosse Zahl durch eine etwas kleinere Zahl zu dividieren. Auf der letzten Seite der jüngsten Gratiszeitschrift Blick am Abend nimmt Filmkritiker, Windsor- Kenner und Buchautor Helmut-Maria Glogger kein Blatt vor den Mund. Abend für Abend schreibt er in der Rubrik "Mail an..." offene s, kritisiert und lobt Leute des öffentlichen Interesses. Vor einiger Zeit schrieb er über die jüngst gefundene grösste Mersenne-Primzahl mit ihren 1'978'189 Stellen (Stand September 8). Mit Hohn durchsetzt fragte er rethorisch, ob wir nun stolz auf diese Leistung bzw. das Schulsystem sein können und ob es sich lohnt, dass er seinem Sohn im Schulalter darüber berichtet. "Verbessert es unser leben?", hat er spöttisch gefragt. Der Hohn war fehl am Platz. Das sollte dem guten Mann spätestens dann bewusst werden, wenn dank verbesserter Primfaktorzerlegung die verschlüsselten Verbindungen im Internet ohne weiteres mitgelesen und beim Online-Banking ohne grösseren Aufwand Geld abgezweigt werden kann. Schliesslich basieren moderne kryptografische Verfahren (z.b. RSA) auf grossen Primzahlen und der Schwierigkeit der Primfaktorzerlegung. Solange der epochale Quantensprung bezüglich der letzteren nicht eingesetzt hat, hat man gefälligst den Primzahlen Respekt entgegenzubringen - Und den Männern und Frauen, die sich mit den vermeintlich sinnlosen Zahlenspielen auseinandersetzen. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich,. Juni 9. scip AG Informationen.1 Backdoor Test Das Ziel unserer Dienstleistung Backdoor Test ist die erfolgreiche Kompromittierung der Zielumgebung durch die Infektion eines eigens angefertigten Trojanischen Pferds (Backdoor) zur Bestimmung effektiv ausnutzbarer Schlupflöcher im bestehenden Sicherheitsdispositiv. Vorbereitung: Die Zielumgebung wird ausgewertet, um ein individuelles Angriffsszenario entwickelt. Entwicklung: Ein eigens angefertigtes Trojanisches Pferd wird für den Kunden programmiert. Infektion: Die Zielumgebung oder ein definiertes Zielsystem wird mit dem Trojanischen Pferd infiziert (z.b. Social Engineering, Drive- By Infection, Exploiting einer Dokumentenschwachstelle). Fernsteuerung: Nach erfolgreicher Infektion wird die Fernsteuerung durchgesetzt, um die Machbarkeit und Möglichkeiten zu demonstrieren. Solcherlei Backdoor Inside/Out Tests sind sehr individuell. Die Vorbereitungen (Entwicklung der Hintertür) sowie die Durchführung des Angriffs (Infektion und Fernsteuerung) werden detailliert dokumentiert. Die ausgenutzten Schwächen der Zielumgebung (z.b. Firewall-Tunneling, Antivirus Evasion, etc.) werden ausführlich besprochen. Durch den zielgerichteten Malware-Angriff wird es möglich, sämtliche Schichten der Layered Security zu prüfen. Das Trojanische Pferd muss schliesslich alle bestehenden Sicherheitsmassnahmen irgendwie umgehen, um erfolgreich zu sein. Dadurch wird es möglich, mit einem umfassenden Test die verbleibenden Schwächen der Umgebung aufzuzeigen. Strategische Entscheidungen bezüglich IT-Security werden so realitätsnah gestützt Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen haben wir als scip AG bereits eine Vielzahl von Backdoor Test Projekte durchgeführt. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer oder senden Sie im eine Mail an chris.widmer@scip.ch. /1

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Jul 9 Aug 9 sehr kritisch 5 kritisch 3 4 problematisch 3 6 Contents: 418 WordPress Privilege Escalation Schwachstellen 417 Apple Mac OS X kumulatives Security Update 416 Microsoft Remote Desktop Connection mehrere Schwachstellen 415 Apple iphone SMS Message Decoding Schwachstelle 414 Microsoft Windows Workstation Service Memory Corruption 41 Microsoft Windows AVI Media File Parsing Schwachstelle 49 Microsoft.NET Framework Denial of Service 44 Microsoft Internet Explorer Tabellenoperationen Pufferüberlauf 43 Microsoft Internet Explorer gelöschte Objekte Pufferüberlauf 3.1 WordPress Privilege Escalation Schwachstellen WordPress ist ein System zur Verwaltung der Inhalte einer Website (Texte und Bilder). Es bietet sich besonders zum Aufbau und Pflege eines Weblogs (Onlinetagebuch) an, da es erlaubt, jeden Beitrag einer oder mehreren frei erstellbaren Kategorien zuzuweisen, und automatisch die entsprechenden Navigationselemente erzeugt. Parallel gestattet es auch unkategorisierte Einzelseiten. Die Entwickler weisen mit einem Security Release auf diverse kleinere Schwachstellen hin, die von Angreifern zum Erlangen erweiterter Rechte genutzt werden konnten. Auch wenn leider nicht ganz klar wird, welche konkreten Schwachstellen mit dem neuen Release gefixt werden, so lehrt uns die Historie von Wordpress, zeitnah um das Einspielen des entsprechenden Versionsupdates bemüht zu sein. 3. Apple Mac OS X kumulatives Security Update Einstufung: problematisch Datum: scip DB: Einstufung: problematisch Datum: scip DB: Mac OS X ist ein kommerzielles Unix- Betriebssystem des Unternehmens Apple und setzt die Produktlinie Mac OS als Betriebssystem der hauseigenen Macintosh-Computer fort. In einem kumulativen Patchpaket schliess Apple insgesamt 17 Schwachstellen, deren Kritikalität teilweise als kritisch zu betrachten ist. Details zu den einzelnen Schwachstellen können im Advisory des Herstellers nachgelesen werden. 17 Schwachstellen sind zwar nicht die Welt, aber im Anbetracht der teilweise doch eher kritischen Sicherheitslücken nicht zu verachten. Benutzer wie Administratoren sollten zeitnah darum bemüht sein, hier einen aktuellen Patchlevel zu erreichen. 3.3 Microsoft Remote Desktop 3/1

4 scip monthly Security Summary Connection mehrere Schwachstellen Einstufung: kritisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie beispielsweise auch GEM oder PC/GEOS), inzwischen wurde dieser Entwicklungszweig zu Gunsten der Windows-NT- Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Durch verschiedene Fehler in der Implementierung des Remote Desktop Clients in verschiedenen Windows Versionen, kann ein Angreifer beliebigen Code zur Ausführung bringen, wenn das Opfer eine beliebige Webseite besucht. Auch hier liegt erneut eine kritische Schwachstelle im Hinblick auf diverse ActiveX Objekte vor, die nicht sauber implementiert wurden. Dementsprechend sollte zeitnah dafür gesorgt werden, dass die bereitgestellten Updates eingespielt werden. 3.4 Apple iphone SMS Message Decoding Schwachstelle Einstufung: kritisch Datum: scip DB: Das iphone ist ein von Apple entwickeltes Smartphone, das über einen ipod-ähnlichen Medienspieler verfügt und weitgehend über den Bildschirm gesteuert wird. Dieser besitzt wie der ipod touch eine Multi-Touch-Funktionalität, ermöglicht also eine Bedienung mit mehreren Fingern gleichzeitig. Darüber hinaus wird das iphone nur noch mittels zweier Tasten, einer Wippe und eines Schiebeschalters bedient. Nach Angaben von Apple vereint das iphone die Funktionen eines Breitbild-Video-iPod- Medienspielers mit denen eines Mobiltelefons mit Digitalkamera und Internetzugang. Durch das fehlerhafte Decodieren von SMS Nachrichten durch das Gerät kann ein Angreifer mittels einer Vielzahl manipulierter SMS erreichen, dass beliebiger Code zur Ausführung gebracht wird. Die vorliegende Schwachstelle liess ein Raunen durch die iphone-community gehen, schliesslich ist eine Remote Code Execution via SMS nicht gerade alltäglich. Aufgrund der hohen Gefahr des Angriffs sollten Benutzers zeitnah mittels itunes auf eine aktualisierte Firmware Version (3..1) upgraden, um keine Gefahr zu laufen, Opfer einer Kompromittierung zu werden. 3.5 Microsoft Windows Workstation Service Memory Corruption Einstufung: problematisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie beispielsweise auch GEM oder PC/GEOS), inzwischen wurde dieser Entwicklungszweig zu Gunsten der Windows-NT- Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Durch einen Programmfehler in der Funktion NetrGetJoinInformation() kommt es zu einem Pufferüberlauf, des es einem Angreifer erlaubt beliebigen Code zur Ausführung zu bringen. Auch hier existiert die Möglichkeit einer Code Execution durch den Angreifer, weshalb der Ratschlag zur zeitnahen Evaluierung und Implementierung der bereitgestellten Updates auch hier seine Gültigkeit behält. 3.6 Microsoft Windows AVI Media File Parsing Schwachstelle Einstufung: kritisch Datum: scip DB: Microsoft Windows ist ein Markenname für Betriebssysteme des Unternehmens Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS- DOS (wie beispielsweise auch GEM oder PC/GEOS), inzwischen wurde dieser Entwicklungszweig zu Gunsten der Windows-NT- Produktlinie aufgegeben und Windows bezeichnet das Betriebssystem als Ganzes. Viney Anantharaman von Adobe Systems fand verschiedene kritische Schwachstellen in 4/1

5 scip monthly Security Summary Zusammenhang mit dem Parsing von AVI Mediendateien, die von einem Angreifer mittels eines präparierten Files zur Ausführung eines Pufferüberlaufs missbraucht werden können. Schwachstellen in Fileformaten, speziell den üblichen Videoformaten sind als kritisch zu betrachten, zumal sie aus unserem digitalen Alltag nur schwerlich wegzudenken sind. Im Anbetracht der vorliegenden Lücken sollte zeitnah damit begonnen werden, die entsprechenden Patches zur Installation zu bringen. 3.7 Microsoft.NET Framework Denial of Service Einstufung: kritisch Datum: scip DB: ist eine von Microsoft entwickelte Software- Plattform. Diese umfasst eine Laufzeitumgebung, eine für Programmierer bestimmte Sammlung von Klassenbibliotheken (API) und angeschlossene Dienstprogramme (Services). Die Plattform ist bisher in ihrem vollen Umfang nur für Windows verfügbar. Anwendungen für.net laufen mit Projekten wie Mono oder dotgnu auch teilweise auf unixoiden Betriebssystemen. Alexander Pfandt fand in aktuellen Versionen eine Denial of Service Schwachstelle, die sich über speziell präparierte HTTP Requests ausnutzen lässt. Im Fall der vorliegenden Schwachstelle sind vor allem Serversysteme erhöht gefährdet, besonders zumal die Schwäche nach Aussagen des Herstellers bereits in limitiertem Masse aktiv ausgenutzt wird. 3.8 Microsoft Internet Explorer Tabellenoperationen Pufferüberlauf Einstufung: sehr kritisch Datum: scip DB: Windows Internet Explorer (früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser vom Softwarehersteller Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95 A ist der Internet Explorer fester Bestandteil von Windows- Betriebssystemen. Bei älteren Windows- Versionen kann er nachinstalliert werden. Die aktuelle Version ist Windows Internet Explorer 8. Gemäss eines Advisories, das ausserhalb Microsofts üblichen Patchzyklen erschienen ist, existiert in verschiedenen Versionen des Internet Explorers eine Schwachstelle, bei der in spezifischen, nicht genauer definierten Situationen Tabellenoperationen zu einem Pufferüberlauf führen, der die Ausführung beliebigen Codes erlaubt. Die drei Schwachstellen, die Microsoft im Rahmen eines ausserplanmässigen Patch Days adressiert, sind insgesamt alle als sehr kritisch zu betrachte. Ein Besuch auf einer manipulierten, möglicherweise durch Dritte kompromittierten, Webseite genügt, um eine Kompromittierung des eingesetzten Systems zu bewerkstelligen. 3.9 Microsoft Internet Explorer gelöschte Objekte Pufferüberlauf Einstufung: sehr kritisch Datum: scip DB: Windows Internet Explorer (früher Microsoft Internet Explorer; Abkürzung: IE oder MSIE) ist ein Webbrowser vom Softwarehersteller Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95 A ist der Internet Explorer fester Bestandteil von Windows- Betriebssystemen. Bei älteren Windows- Versionen kann er nachinstalliert werden. Die aktuelle Version ist Windows Internet Explorer 8. Gemäss eines Advisories, das ausserhalb Microsofts üblichen Patchzyklen erschienen ist, existiert in verschiedenen Versionen des Internet Explorers eine Schwachstelle, bei der gelöschte Objekte im Speicher angesprochen werden und dadurch ein Pufferüberlauf provoziert wird. Dadurch kann beliebiger Code zur Ausführung gebracht werden. Die drei Schwachstellen, die Microsoft im Rahmen eines ausserplanmässigen Patch Days adressiert, sind insgesamt alle als sehr kritisch zu betrachte. Ein Besuch auf einer manipulierten, möglicherweise durch Dritte kompromittierten, Webseite genügt, um eine Kompromittierung des eingesetzten Systems zu bewerkstelligen. 5/1

6 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. August sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Jun 9 - Jul 9 - Aug 9 - Jun 9 - Jul 9 - Aug sehr kritisch 5 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) 1 Designfehler 1 3 Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung Verlauf der letzten drei Monate Schwachstelle/Kategorie 6/1

7 scip monthly Security Summary Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 9 7/1

8 scip monthly Security Summary Jan 9 - Feb 9 - Mrz 9 - Apr 9 - Mai 9 - Jun 9 - Jul 9 - Aug 9 - Sep 9 - Okt 9 - Nov 9 - Dez Cross Site Scripting (XSS) 1 Denial of Service (DoS) 1 Designfehler Directory Traversal Eingabeungültigkeit 1 1 Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung 1 Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 9 8/1

9 scip monthly Security Summary Jan 5 - Mrz 5 - Mai 5 - Jul 5 - Sep 5 - Nov 6 - Jan 6 - Mrz 6 - Mai 6 - Jul 6 - Sep 6 - Nov 7 - Jan 7 - Mrz 7 - Mai 7 - Jul 7 - Sep 7 - Nov 8 - Jan 8 - Mrz 8 - Mai 8 - Jul 8 - Sep 8 - Nov 9 - Jan 9 - Mrz 9 - Mai 9 - Jul Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat seit Januar Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au Se Ok No De Ja Fe Mr Ap Ma Ju Jul Au sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat seit Januar 5 9/1

10 scip monthly Security Summary Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat seit Januar 5 1/1

11 scip monthly Security Summary Labs Wir sind ständig darum bemüht, die neuesten Errungenschaften im Bereich der Computersicherheit zu verstehen oder diesen gar selbst weiterzubringen. Die scip Labs ist unsere hauseigene Forschungsabteilung, die einerseits mit der Erarbeitung des Verständnisses für neue Technologien beschäftigt ist, andererseits eigene Entwicklungen in den technischen Bereichen Auditing, Exploiting und Forensics vorantreibt. Mit den scip Labs schaffen wir die Grundlage für die Beständigkeit und Verbesserung unserer technischen Dienstleistungen. Auf der Webseite der scip Labs ( werden regelmässig Neuigkeiten und Forschungsberichte veröffentlicht. 5.1 Xdoor - Unsere Ajax-basierte Backdoor , Marc Ruef, maru@scip.ch Der Begriff Web. ist ein Buzzword, das die meisten Techniker nicht mehr hören können. Vorzugsweise deswegen, weil die meisten Projektleiter und Nutzer nicht wissen, was das überhaupt ist (und dass es die genutzten Mechanismen schon seit längerer Zeit gibt). Grundsätzlich versteht man darunter Ajax (Asynchronous JavaScript and XML), eine Kombination aus Javascript und XML. aufgenommen, welches die Funktionsweise und das Verhalten von Xdoor illustriert. Dieses haben wir nun mitunter auf YouTube online ( gestellt, um sowohl unseren Kunden als auch technisch Interessierten diese Entwicklung aufzuzeigen. Mit Xdoor ist zurzeit folgendes möglich: Interaktion mit dem Client (Chat) Generieren von Fenstern und dynamischen Seiteninhalten (html) Zugriffe und Uploads von Dateien Starten von Applikationen (ActiveX) Einfluss auf Maus und Tastatur (ActiveX) Portscanning, Banner-Grabbing, Vulnerability Scanning Kompromittierung über Browser-Exploit Es muss erwähnt bleiben, dass es sich in der im Video gezeigten Version Xdoor 3. um eine ältere Implementierung vom handelt. Mittlerweile ist Xdoor 4.x im Einsatz, was ein Mehr an Modularität und dedizierte Payloads für browserspezifische Exploits unterstützt. Seit einiger Zeit wird diskutiert, ob und inwiefern sich damit Backdoors zur Kompromittierung und Fernsteuerung von Clients umsetzen lassen. Seit Anfang 8 arbeiten wir an einer Implementierung mit dem Projektnamen Xdoor (XmlHTTP Backdoor). Diese pflegen wir seit Mitte 8 in unseren Backdoor Tests einzusetzen. Zu Beginn dieses Jahres haben wir ein Video 11/1

12 scip monthly Security Summary Impressum Herausgeber: scip AG Badenerstrasse 551 CH-848 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 1/1