s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Was ist Sicherheit? Die Frage danach, was Sicherheit überhaupt ist, vermag auf den ersten Blick sehr einfach zu beantworten sein. Bei näherer Betrachtung, so stellt sich dann doch heraus, ist sie wohl fast so schwierig zu beantworten, wie die Frage danach, was Liebe, die Seele oder Gott überhaupt ist. Genauso wie bei derlei zentralen Dingen des menschlichen Erlebens, streiten sich auch in Bezug auf die Sicherheit seit vielen Jahren die Gelehrten. Sicherheit, will man es in einfache Worte packen, ist im Grunde durch das Nichtexistieren einer Sache definiert. Sicherheit existiert nämlich dann, wenn keine Risiken mehr gegeben sind. Genauso wie der Schatten im Grunde nur die Abwesenheit von Licht definiert, definiert Sicherheit im Grunde nur die Abwesenheit von Risiken. Mit einem Risiko sieht man sich konfrontiert, wenn eine Gefahr effektiv über einen hereinbrechen droht. Zum Beispiel besteht das Risiko, dass man beim Überqueren einer Strasse von einem vorbeifahren Auto erfasst wird. Oder es besteht das Risiko, dass man bei einem Spaziergang im Wald von einem Blitz getroffen wird. Man muss eingestehen, dass beide Risiken existent sind. In einigen Fällen ist es naturbedingt etwas grösser, in anderen naturbedingt etwas kleiner. Die Aufgabe der Computersicherheit, will man eine solche denn erreichen, besteht also im Minimieren der Risiken durch die definierten Gefahren. Doch wie definieren sich Gefahren für einen Computer? Das Informationszeitalter hat Erscheinungen wie Computerviren, Würmer oder Einbrüche in Computersysteme schon fast salonfähig gemacht. Dies sind nur einige der Gefahren, von denen ein Risiko ausgeht. Eine solche Bedrohung kann gänzlich unterschiedliche Qualitäten und Quantitäten aufweisen. Computerviren gibt es Mittlerweile wie Sand am Meer. Neue Schwachstellen, dank denen sich innert Sekunden ein aktuelles System übernehmen lassen, hingegen weniger. Ebenso gibt es ausgeklügelte Computerviren, die mit polymorphen Funktionen und netzwerkfähigen Komponenten aufwarten. Andererseits gibt es plumpe Angriffe auf Computersysteme, bei denen der Angreifer weder mit Glück noch mit Verstand in annehmbarer Zeit einen Treffer landen kann. Die Frage stellt sich nun, ab wann denn für ein spezifisches Computer-system die sogenannte "Sicherheit" erreicht worden ist. Allgemein, so kann man behaupten, ist ja die Bedrohungslage für alle Computersysteme gleich. Viren, Würmer und Hacker gibt es auf praktisch jeder Plattform, jedoch nicht in der gleichen Quantität. Im deutschen Magazin Linux Enterprise veröffentlichte ich Mitte 3 einen Fachartikel mit dem Titel Linux-Viren - Mythos oder Wirklichkeit [Ruef 3]. In diesem stellte ich die nicht gerade unumstrittene These auf, dass mitunter mit der Popularität eines Produkts ebenso das Interesse der Angreifer und damit die potentielle Bedrohung zunimmt. Zeitgleich erweitert sich das Interesse der Angreifer aber auch mit dem Wert des Zielobjekts, des sogenannten Assets, welches man schützen will. Es ist wohl klar, dass es mehr Menschen auf dieser Welt gibt, die Interesse an einer Liste von einer Million gültiger Kreditkarteninformationen haben, weder am letzten Brief, den ich meinem Onkel zu Weihnachten geschickt habe. Gerade weil das Interesse im ersten Fall höher ist, wird sich auch eine grössere Anzahl an Angreifern mit höherer Fachbildung dafür interessieren. Die Bedrohung ist deshalb sowohl in Bezug auf die Qualität als auch auf die Quantität relativ hoch. 1/16

2 scip monthly Security Summary Da man es hierbei mit mitunter professionellen Angreifern zu tun hat, die effektiv Profit aus dem Kreditkartendiebstahl schlagen wollen und die Risiken einer Verurteilung in Kauf nehmen, muss man ebenfalls die Qualität und Quantität der Gegenmassnahmen höher ansetzen. Es reicht sodann nicht mehr nur mal eben eine Antiviren- Lösung zu installieren und zwei Mal im Jahr die neuesten Patches einzuspielen. Ausgeklügelte Schutzmechanismen, die einen Angriffsversuch frühzeitig entdecken und verhindern können, sind in diesem Falle angebracht. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 18. Dezember 6 2. scip AG Informationen 2.1 Frohe Festtage Die scip AG wünscht Ihnen frohe Festtage und einen guten und gesunden Rutsch ins neue Jahr 7. Wir freuen uns darauf Sie auch im kommenden Jahr zu unserer Leserschaft begrüssen zu können. 2.2 Defense.at befragte Marc Ruef Das Sicherheitsportal defense.at hat für die Q4 6 Ausgabe ihres Online Magazins Herrn Marc Ruef (Leiter des Security Auditing Teams der scip AG) interviewt. Weitere Informationen finden Sie unter: 2/16

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Nov 6 Dez 6 sehr kritisch 1 kritisch problematisch 4 21 Contents: 3.1 ProFTPD bis 1.3.1rc1 mod_ctrls pr_ctrls_recv_request() Pufferüberlauf 3.2 OpenLDAP bis 2.3.x krbv4_ldap_auth() lange Credentials Stack-Overflow 3.3 Sun Solaris bis 1 ld.so doprf() Stack- Overflow 3.4 Sophos Anti-Virus bis 5.x veex.dll korruptes CPIO-Archiv Stack-Overflow 3.5 Microsoft Outlook Express bis 6. Windows Address Book Dateien Pufferüberlauf 3.6 Microsoft Windows Remote Installation Service TFTP fehlende Authentisierung 3.7 Microsoft Windows, XP und Server 3 SNMP Pufferüberlauf 3.8 Microsoft Windows XP und Server 3 Manifest erweiterte Rechte 3.9 Microsoft Internet Explorer bis 6. OBJECT-Tag Temporary Internet Files erweiterte Leserechte 3.1 Microsoft Internet Explorer bis 6. Drag and Drop Temporary Internet Files erweiterte Leserechte 3.11 Microsoft Internet Explorer bis 6. korruptes DHTML erweiterte Rechte 3.12 Microsoft Internet Explorer bis 6. korruptes Javascript erweiterte Rechte 3.1 ProFTPD bis 1.3.1rc1 mod_ctrls pr_ctrls_recv_request() Pufferüberlauf 3.13 MailEnable bis IMAP-Dienst Stack-Overflow 3.14 Microsoft Windows Media Player bis 1 ASX-Playlist REF HREF-Tags lange URL Heap-Overflow 3.15 Novell Client for Windows bis 4.91 SP3 ndppnt.dll Pufferüberlauf 3.16 GnuPG bis 2..2 korrupte Nachrichten entschlüsseln Pufferüberlauf 3.17 Citrix Presentation Server Client bis 9. WFICA.OCX SendChannelData() Heap- Overflow 3.18 Microsoft Word bis 4 korrupte DOC- Dokumente erweiterte Rechte 3.19 ProFTPD bis 1.3.a mod_tls tls_x59_name_oneline() Pufferüberlauf 3.2 GNU Radius bis 1.4 sqllog() Format String 3.21 MailEnable bis 2.32 WebAdmin leeres Passwort fehlerhafte Authentisierung 3.22 Mozilla Firefox bis 2.. Password Manager gibt Daten preis 3.23 Novell Client for Windows bis 4.91 NWSPOOL.DLL unbekannter Pufferüberlauf Remote: Indirekt Datum: scip DB: ProFTPD ist ein gerne und oft eingesetzter FTP- Server für die verschiedenen UNIX-Systeme. Im Advisory CORE wird eine Pufferüberlauf-Schwachstelle im Modul mod_ctrls publiziert. Durch ein falsches Kontrollkommando kann in der Funktion pr_ctrls_recv_request() beliebiger Programmcode ausgeführt werden. Technische Details sind im Beitrag enthalten. Ein Exploit ist hingegen nicht bekannt. Scheinbar ist der Fehler nur lokal auszunutzen. Als Workaround wird vom hersteller empfohlen, in der Konfigurationsdatei durch "ControlsEngine off" die Control-Engine manuell zu deaktivieren. Der Fehler wurde gänzlich in der Version 1.3.1rc1 behoben. Angriffe auf FTP-Server waren früher sehr beliebt. Aber auch noch heute ist dies ein gern genutzter Einstiegspunkt in ein System. Da diese Schwachstelle lokale Zugriffsrechte erfordert, ist 3/16

4 scip monthly Security Summary das Risiko eines erfolgreichen Einbruchs über das Netzwerk nicht gegeben. Trotzdem sollte man in sicherheitskritischen Umgebungen, gerade auf Multiuser-Systemen, entsprechende Gegenmassnahmen umsetzen. 3.2 OpenLDAP bis 2.3.x krbv4_ldap_auth() lange Credentials Stack-Overflow Datum: scip DB: LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll, das die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) erlaubt [ Der Hacker Solar Eclipse hat nun einen stack-basierten Pufferüberlauf in den Versionen bis 2.3.x gefunden. Durch die Übergabe von Credentials, die länger als 125 Bytes sind, lässt sich über die Funktion krbv4_ldap_auth() beliebiger Programmcode ausführen. Ein in C geschriebener Exploit wurde dem Original- Advisory beigelegt. Voraussetzung zur erfolgreichen Ausnutzung ist, dass LDAP mit der Option --enable-kbind kompiliert wurde und mit LDAP2 betrieben wird. Gerade ersteres ist seit der Version 2..2 standardmässig nicht mehr der Fall. Als Workaround, bis eine aktualisierte Version erscheint, sollte deshalb auf das Nutzen der besagten Option verzichtet werden. Diese Schwachstelle ist aufgrund dessen, dass viele Gegebenheiten zusammenspielen müssen, nicht besonders kritisch. So muss OpenLDAP mit der besagten Option betrieben werden und durch einen Angreifer mit fehlerhaften Argumenten versorgbar sein. In stets auf dem neuesten Stand gehaltenen Umgebungen dürfte das Problem deshalb heutzutage schon gar nicht mehr antreffbar sein. 3.3 Sun Solaris bis 1 ld.so doprf() Stack-Overflow Remote: Indirekt Datum: scip DB: Solaris ist ein populäres UNIX-Derivat aus dem Hause Sun Microsystems. Über idefense Labs hat eine anonyme Person zwei grundlegende Schwachstellen in ld.so publizieren lassen. Eine davon schlägt sich in einem Pufferüberlauf- Problem nieder. Durch das Umsetzen eines solchen lokalen Angriffs lässt sich beliebiger Programmcode ausführen.. Allgemeine Details sind im Original-Advisory von idefense enthalten. Ein automatisierter Exploit ist hingegen nicht bekannt. Sun wurde frühzeitig über das Problem informiert und hat dieses mit dedizierten Patches für die jeweiligen Solaris-Versionen adressiert. Diese Sicherheitslücke ist sehr kritisch, wobei man jedoch von Glück sprechen kann, dass das Problem nur lokal ausnutzbar ist. Trotzdem sollte man sich schnellstmöglich bemühen, das eigene System entsprechend abzusichern. Gerade Multiuser-Systeme werden aufgrund der beiden in ld.so gefundenen Schwachstellen kurzzeitig für Angreifer interessant. 3.4 Sophos Anti-Virus bis 5.x veex.dll korruptes CPIO-Archiv Stack- Overflow Datum: scip DB: Sophos ist einer der bekannten Hersteller von Antiviren-Lösungen. Eine anonyme Person hat über die Zero Day Initiative (ZDI) zwei Schwachstellen in den Versionen bis 5.x publiziert. Effektiv davon betroffen ist die Datei veex.dll der Scanning-Engines bis 2.4. So sei es mitunter möglich, dass über ein korruptes CPIO- Archiv ein stack-basierter Pufferüberlauf ausgeführt werden kann. Dazu ist ein langer Dateiname, der mit einem Nullbyte abgeschlossen wird, erforderlich. Weitere Details oder ein Exploit sind nicht bekannt. Sophos wurde im September über das Problem informiert, so dass sich frühzeitig um eine Gegenmassnahme gekümmert werden konnte. Zusammen mit dem Erscheinen der Advisories ist sodann auch eine aktualisierte Version der Scanning-Engine erschienen. Probleme bei der Verarbeitung korrupter Dateien und vor allem Archiven ist nichts neues. Es scheint, als müssten die Entwickler von Antiviren- Lösungen in der Hinsicht von weit mehr defensiver programmieren. Es ist nur eine Frage der Zeit, bis aktuelle Schädlinge, vor allem Mail- Viren, die Schwachstelle für sich ausnutzen 4/16

5 scip monthly Security Summary wollen. Das Umsetzen von Gegenmassnahmen ist deshalb dringendst zu empfehlen. 3.5 Microsoft Outlook Express bis 6. Windows Address Book Dateien Pufferüberlauf Datum: scip DB: Microsoft Outlook ist ein beliebter Mail-Client (SMTP, POP3 und IMAP4) für die Windows- Betriebssysteme. Microsoft dokumentiert in MS6-76 (KB923694) eine Pufferüberlauf- Schwachstelle in den Versionen bis 6.. Wird ein korruptes Windows Address Book, diese werden mit der Dateiendung wab vertrieben, eingelesen, kann damit beliebiger Programmcode ausgeführt werden. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 11 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.6 Microsoft Windows Remote Installation Service TFTP fehlende Authentisierung Microsoft Windows - kurz auch W2k genannt - ist eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Wie sich nun herausgestellt hat, öffnet der Remote Installation Service automatisch einen TFTP-Server. Auf diesem wird jedoch keine Zugriffsbeschränkung umgesetzt, so dass jedermann nach Belieben Dateien auf dem Betriebssystem überschreiben kann. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. 3.7 Microsoft Windows, XP und Server 3 SNMP Pufferüberlauf Microsoft Windows ist ein professionelles Betriebssystem, das jedoch nach und nach durch den Nachfolger Microsoft Windows XP bzw. Server 3 abgelöst wird. Kostya Kortchinsky und Clement Seguy entdeckten einen Fehler, der von Microsoft in MS6-74 (KB926247) dokumentiert wird. So sei es über einen Pufferüberlauf im SNMP-Dienst möglich, beliebigen Programmcode auszuführen. Weitere Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. 3.8 Microsoft Windows XP und Server 3 Manifest erweiterte Rechte Datum: scip DB: Datum: scip DB: Datum: scip DB: Microsoft Windows XP stellt eine Weiterentwicklung des professionellen Windows dar. Microsoft Windows 3 Server ist die Server-Version von Windows XP. Der Hersteller hält in MS6-75 (KB926255) fest, dass eine schwerwiegende Schwachstelle im Client-Server Run-time Subsystem gegeben ist. Durch eine korrupte Manifest-Datei sei es beim Ausführen einer Applikation möglich, dass erweiterte Rechte erlangt werden. Weitere Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 11 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und 5/16

6 scip monthly Security Summary Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.9 Microsoft Internet Explorer bis 6. OBJECT-Tag Temporary Internet Files erweiterte Leserechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So hat Microsoft herausgefunden, so wird es in MS6-72 (KB925454) dokumentiert, dass dank einem Fehler bei der Interpretation des OBJECT-Tags erweiterter Lesezugriff auf den Ordner Temporary Internet Files erlangt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen. 3.1 Microsoft Internet Explorer bis 6. Drag and Drop Temporary Internet Files erweiterte Leserechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So hat Yorick Koster herausgefunden, so wird es in MS6-72 (KB925454) dokumentiert, dass dank einem Fehler in Drag and Drop erweiterter Lesezugriff auf den Ordner Temporary Internet Files erlangt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen Microsoft Internet Explorer bis 6. korruptes DHTML erweiterte Rechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So hat Sam Thomas herausgefunden, so wird es in MS6-72 (KB925454) dokumentiert, dass durch korruptes DHTML erweiterte Rechte erlangen lassen. Damit liesse sich der Speicher manipulieren und deshalb beliebigen Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen Microsoft Internet Explorer bis 6. korruptes Javascript erweiterte Rechte Datum: scip DB: Datum: scip DB: Datum: scip DB: Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So haben Jakob Balle und Carsten Eiram von Secunia Research herausgefunden, dass durch das zeitgleiche Ausführen verschiedene Javascript-Elemente 6/16

7 scip monthly Security Summary erweiterte Rechte erlangen lassen. Damit liesse sich der Speicher manipulieren und deshalb beliebigen Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen MailEnable bis IMAP- Dienst Stack-Overflow Datum: scip DB: Bei MailEnable handelt es sich um eine Mailserver-Lösung, die mitunter optional mit einem Webfrontend für das Lesen und Verfassen der s daherkommt. Wie das Entwicklerteam meldet, existiert in den aktuellen Versionen im IMAP-Dienst stack-basierter Pufferüberlauf. Dieser kann für das Ausführen beliebigen Programmcodes missbraucht werden. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde mit einem Hotfix behoben. Aufgrund der relativ hohen Verbreitung der MailEnable-Software ist diese Schwachstelle durchaus von einer gewissen Dringlichkeit. Es gilt deshalb so schnell wie möglich Gegenmassnahmen einzuleiten, um das Zeitfenster eines erfolgreichen Angriffs so klein wie möglich zu halten Microsoft Windows Media Player bis 1 ASX-Playlist REF HREF- Tags lange URL Heap-Overflow Datum: scip DB: Der Microsoft Windows Media Player ist ein Teil moderner Windows-Betriebssysteme und für das Darstellen von Multimedia-Dateien (Filmen und Musik) vorgesehen. Ein Hacker namens sehato hat einen Heap-Overflow in den aktuellen Versionen des Players gefunden. Dort kann durch eine überlange URL in einem REF HREF- Tag in einer ASX-Playlist beliebiger Programmcode ausgeführt werden. Weitere Details oder ein Exploit sind nicht bekannt. Microsoft arbeitet scheinbar an einer Lösung und empfiehlt zwischenzeitlich, dass keine Playlists unbekannter oder zwielichtiger Herkunft importiert werden. Diese Schwachstelle ist sehr unschön. Sie reiht sich in eine Reihe anderer, vergleichbarer Sicherheitslücken im Windows Media Player ein. Es bleibt also auch weiterhin fragwürdig, wie sicher dieser Player wirklich ist. In sicherheitsbewussten Umgebungen sollte auf den Einsatz des Players verzichtet werden Novell Client for Windows bis 4.91 SP3 ndppnt.dll Pufferüberlauf Der Novell Client dient als Software Schnittstelle zwischen Ihrem Rechner und den Novell-Server, um eine Kommunikation und Datenaustauch zu ermöglichen. Wie der Hersteller meldet, existiert in der Version bis 4.91 des Clients für Windows eine Pufferüberlauf-Schwachstelle. Durch diesen kann beliebiger Programmcode ausgeführt werden. Technische Details oder ein Exploit sind nicht bekannt. Das Problem wurde bisher mit einem Beta-Patch behoben. Obschon bisher noch keine technischen Informationen zur besagten Verwundbarkeit bekannt sind, sollte man das Umsetzen von Gegenmassnahmen nicht hinausschieben. Es ist nur eine Frage der Zeit, bis die ersten Exploits zur automatisierten Ausnutzung der Schwachstelle die Runde machen. Der eine oder andere verärgerte Mitarbeiter wird sodann die Arbeitskollegen ärgern wollen GnuPG bis 2..2 korrupte Nachrichten entschlüsseln Pufferüberlauf Datum: scip DB: Datum: scip DB: GnuPG gilt als freier Ersatz für PGP (Pretty Good 7/16

8 scip monthly Security Summary Privacy). Der Grund dafür liegt darin, weil auf das Vorhandensein des kommerziellen IDEA verzichtet wird. GnuPG ist RFC244 (OpenPGP) kompatibel und vor allem bei Puristen und Freunden von open-source hoch im Kurs. Tavis Ormandy des Gentoo Security Team hat eine Pufferüberlauf-Schwachstelle in den Versionen bis 2..2 von GnuPG gefunden. Beim Entschlüsseln korrupter Nachrichten könne beliebiger Programmcode ausgeführt werden. Technische Details oder ein Exploit sind nicht bekannt. Für vereinzelte Versionen liegt ein Patch vor, den es zu installieren gibt. Dies ist schon die zweite Sicherheitslücke für GnuPG diese Woche. Diese Bilanz erscheint erschreckend und lässt durchaus an der sicherheitstechnischen Stabilität des alteingesessenen Produkts zweifeln. Es bleibt zu hoffen, dass diese Fehler ausserordentlicher Natur sind und nur per Zufall in solch kurzer Zeit aufeinanderfolgend entdeckt wurden Citrix Presentation Server Client bis 9. WFICA.OCX SendChannelData() Heap-Overflow Datum: scip DB: Citrix MetaFrame ist eine kommerzielle Erweiterung zu Microsoft TerminalServer und erlaubt das Nutzen verschiedener Anwender einer Windows-Umgebung über das Netzwerk. Dieser Dienst ist mit dem seit Jahren unter Unix gebräuchlichen X11 vergleichbar. FortConsult hat einen heap-basierten Pufferüberlauf im Citrix Presentation Server Client 9.x gefunden. Davon betroffen ist das ActiveX-Element namens WFICA.OCX. Dabei müssen die Variablen von DataSize oder DataType auf 1 gesetzt und sodann ein überlanger Wert in Data mitgegeben werden. Dadurch lässt sich über die Funktion SendChannelData() beliebiger Programmcode ausführen. Ein proof-of-concept Exploit sowie technische Details sind im Advisory von FortConsult enthalten. Von Citrix wurde eine aktualisierte Version 9.23, die das Problem zu beheben in der Lage ist, herausgegeben. Die Rechteausweitung innerhalb einer Citrix- Sitzung wird unter anderem im Artikel "Citrix under Attack" von Marc Ruef diskutiert ( ). Durch das Ausnutzen dieser Pufferüberlauf- Schwachstelle und dem Missbrauch der im besagten Artikel beschriebenen Möglichkeiten, lässt sich innert kürzester Zeit administrative Rechte auf einem Citrix-System erlangen. Ein Horror-Szenario, dem natürlich jeder Citrix- Administrator entgehen möchte Microsoft Word bis 4 korrupte DOC-Dokumente erweiterte Rechte Datum: scip DB: Microsoft Word ist ein kommerzielles Textverarbeitungsprogramm, das als Teil der Office-Suite ausgeliefert wird. Es wird sowohl im beruflichen als wie auch im privaten Bereich gerne eingesetzt. Im Microsoft Security Advisory wird eine nicht näher spezifizierte Schwachstelle gemeldet. Die Grundlage für den Fund dieser bildeten effektive Attacken, die schon an Microsoft herangetragen wurden. Der Hersteller ist zur Zeit um eine Analyse bemüht. Weitere Details oder ein öffentlicher Exploit sind nicht bekannt. Als Workaround wird der Einsatz eines alternativen Produkts sowie lediglich der Zugriff auf Daten vertrauenswürdiger Herkunft empfohlen. Microsoft wird dem Problem voraussichtlich in den kommenden Wochen durch einen Patch Rechnung tragen. Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Es muss mit einem kritischen Problem gerechnet werden, zu dem absichtlich so lange wie möglich keine Angriffsdetails bekanntgegeben werden. Ein Exploit dürfte vor allem auch für Viren- Entwickler interessant sein, die damit Word als Infektions-Plattform nutzen könnten ProFTPD bis 1.3.a mod_tls tls_x59_name_oneline() Pufferüberlauf Datum: scip DB: ProFTPD ist ein gerne und oft eingesetzter FTP- Server für die verschiedenen UNIX-Systeme. Evgeny Legerov publizierte auf Full-Disclosure Details zu einer Pufferüberlauf-Schwachstelle in mod_tls. Durch den Fehler in der Funktion 8/16

9 scip monthly Security Summary tls_x59_name_oneline() kann beliebiger Programmcode ausgeführt werden. Technische Details sind im Original-Posting enthalten. Ein Exploit ist hingegen nicht bekannt. Das ProFTPD-Team wurde frühzeitig über das Problem informiert, hat es jedoch in der darauf neu erschienenen Version 1.3.a nicht behoben. Als Workaround wird der Einsatz eines alternativen Produkts empfohlen. Schon wieder eine Sicherheitslücke für einen der populären FTP-Daemons unter Unix/Linux. ProFTPD wird auf vielen Linux-Systemen eingesetzt. Er ist sehr beliebt, sowohl bei Anwendern wie auch bei Crackern. Deshalb werden Schwachstellen wie diese stets mit offenen Armen empfangen. Es bleibt zu hoffen, dass das Entwickler-Team bald mit einem anständigen Patch reagiert. 3.2 GNU Radius bis 1.4 sqllog() Format String Datum: scip DB: GNU Radius ist eine quelloffene Radius- Implementierung. Eine anonyme Person hat über idefense Labs die Meldung publizieren lassen, dass in den Versionen bis 1.4 eine Format String- Schwachstelle existiert. Davon betroffen ist die Funktion sqllog(), dank der sodann beliebiger Programmcode ausgeführt werden kann. Voraussetzung zur Ausnutzung ist, dass GNU Radius mit SQL-Unterstützung kompiliert und ein entsprechendes SQL-Konto genutzt wird. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde frühzeitig dem Entwicklerteam im August 6 mitgeteilt. Das Problem konnte damit in der neuesten Version behoben werden. Eine der wenigen Format String Attacken dieses Jahres. Trotzdem zeigt sie sehr imposant, wie wirkungsvoll diese Angriffsart sein kann. Es ist nur eine Frage der Zeit, bis ein Exploit auf SecuriTeam.com und vergleichbaren Seiten publiziert werden wird. Zum Glück muss GNU Radius explizit mit SQL-Unterstützung betrieben werden, um die besagte Verwundbarkeit aufzuweisen MailEnable bis 2.32 WebAdmin leeres Passwort fehlerhafte Authentisierung Datum: scip DB: Bei MailEnable handelt es sich um eine Mailserver-Lösung, die mitunter optional mit einem Webfrontend für das Lesen und Verfassen der s daherkommt. Wie der Hersteller meldet, existiert ein Designfehler in den Versionen bis Dabei könne es unter gewissen Umständen gegeben sein, dass sich jemand mit einem leeren Passwort über die Web- Schnittstelle authentisieren kann. Weitere Details oder ein Exploit sind nicht bekannt. Das Problem wurde mit dem Hotfix ME-119 behoben. Da die Informationen zu dieser Schwachstelle sehr spärlich sind, ist nicht damit zu rechnen, dass in naher Zukunft ein Exploit herauskommen wird. Trotzdem sollte das Einspielen der entsprechenden Patches nicht aufgeschoben werden, denn ein handlicher Exploit könnte dem Fehler eine sehr hohe Popularität bescheren Mozilla Firefox bis 2.. Password Manager gibt Daten preis Datum: scip DB: Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Robert Chapin hat eine Sicherheitslücke in den aktuellen Versionen bis 2.. gefunden. Der Password Manager ist in der Lage, genutzte Passwörter zu speichern und diese beim erneuten Aufruf einer Webseite automatisch einzusetzen. Dieser Mechanismus führt jedoch keine umfassende Überprüfung der URL durch, womit eine Ressource die gespeicherten Daten einer anderen Ressource auslesen kann. Ein Exploit wurde zusammen mit der Meldung herausgegeben. Als Workaround wird empfohlen, auf das Nutzen des Password Managers vorerst, bis zum Erscheinen eines Bugfixes, zu verzichten. 9/16

10 scip monthly Security Summary Schon wieder eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat - Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, wird voraussichtlich über längere Zeit auch das Mozilla-Pendant seine weisse Weste nicht sauber halten können. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder- )Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor Novell Client for Windows bis 4.91 NWSPOOL.DLL unbekannter Pufferüberlauf Datum: scip DB: Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Mitunter besteht die Möglichkeit des Einbinden des Hosts durch den Novell Client in einer Novell-Umgebung. Wie Novell nun meldet, existiert ein nicht näher beschriebener Pufferüberlauf in der Bibliothek NWSPOOL.DLL, durch den ein Angreifer beliebigen Programmcode ausführen kann. Weitere Details oder ein Exploit sind nicht bekannt. Novell hat das Problem mit einem Beta-Patch für die Version 4.91 behoben. Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Es muss aber damit zu rechnen sein, dass die bestehende Sicherheitslücke eine ernstzunehmende Gefahr für eine Umgebung darstellen kann. 1/16

11 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 18. Dezember sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Okt Nov Dez Okt Nov Dez sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) 3 2 Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit 1 Fehlende Authentifizierung 1 1 Fehlende Verschlüsselung 1 Fehlerhafte Leserechte 1 Fehlerhafte Schreibrechte 1 1 Format String Konfigurationsfehler Pufferüberlauf Race-Condition 1 2 Schw ache Authentifizierung 4 Schw ache Verschlüsselung SQL-Injection 1 Symlink-Schw achstelle Umgehungs-Angriff 1 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 11/16

12 scip monthly Security Summary Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 12/16

13 scip monthly Security Summary Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 6 13/16

14 scip monthly Security Summary Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov sehr kritisch kritisch problematisch Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 14/16

15 scip monthly Security Summary Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 15/16

16 scip monthly Security Summary Literaturverzeichnis scip AG, 19. Februar 6, scip monthly Security Summary, smss Feedback scip AG, 19. März 6, scip monthly Security Summary, smss Feedback Auswertung Ruef, Marc, 22. Dezember 1, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, Ruef, Marc, 2, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-2, Seiten 1-14, Ruef, Marc, Februar 4, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, Ruef, Marc, 3, Linux-Viren - Mythos oder Wirklichkeit?, Linux Enterprise Ausgabe: Impressum Herausgeber: scip AG Technoparkstrasse 1 CH-85 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16