s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Antivirus ersetzt keine forensische Analyse Gar nicht lange ist es her, da wurde ich als Forensiker zu einem elektronischen Einbruch berufen. Eine erste Analyse der Umgebung hatte gezeigt, dass diese sowohl konzeptionell als auch technisch zu grossen Teilen ungeschützt war und eine Kompromittierung mit wenigen Mausklicks zu bewerkstelligen gewesen wäre. Die erste forensische Analyse hat gezeigt, dass der Fall einer erfolgreichen Übernahme des einen oder anderen Systems wirklich gegeben war. Durch uralte SSH-Dienste liess sich beispielsweise beliebiger Programmcode ausführen und damit neue Benutzer mit erweiterten Zugangsrechten durch einen Angreifer erstellen. Ein Horror-Szenario, das die meisten Firmen - sowohl den Techniker als auch den Manager - nervös machen würde. Derlei Nervosität verhindert es oftmals, dass die involvierten Personen klar und strukturiert denken können. Hektische Schnellschussreaktionen werden überstürzt umgesetzt und damit Fehler und ineffizientes Vorgehen provoziert. Erstaunlicherweise sind es dann oftmals die Herren in der Management-Ebene, welche die Nerven verlieren und sich mit unsinnigen Aktionen an die letzten Strohhalme klammern. Manchmal wäre es halt doch besser gewesen, hätte man den überlasteten Administratoren die Zeit eingeräumt, die aktuellsten Patches einzuspielen... In solchen Situationen wollen Kunden oftmals innert weniger Minuten ein Lagebericht. Ich habe in der Regel keine Mühe damit, diesen vorzutragen. Doch oft will der gereizte Manager, dass man innerhalb von 15 Minuten genau sagen kann, welche Systeme übernommen wurden, wer die Angreifer sind und wie er es gemacht hat. Forensische Analysen, die mit verlässlichen Aussagen glänzen wollen und vor Gericht gebracht werden können, brauchen Zeit. Da müssen Systeme auf tiefster Ebene begutachtet werden. Das Einsehen von Log-Dateien ist noch die leichteste Übung. Aktives Live-Reversing (Auslesen von Prozessen, Überwachen von Datei- /Registryzugriffen sowie Netzwerkkommunikationen) kann eine langwierige Aufgabe sein - Vor allem, wenn jemand am Werk war, der viel Zeit und Energie aufbringen konnte. Bei dieser Geschichte war es tatsächlich so, dass sich die eingebrachten Hintertüren nur in gewissen Situationen aktiv verhielten. Das Aufspüren dieser war also eher ein "auf der Lauer liegen", um eine verdächtige Regung zu lokalisieren und dieser Nachzugehen. Solange sich der Angreifer bzw. seine Hintertüren nicht bewegten, konnte ich nicht viel machen. Dies versuchte ich auch so dem CEO darzulegen, der sich aufgrund der Hektik schon gar nicht mehr richtig die Zeit nehmen wollte, sich meine Expertise anzuhören. Er fragte die gleiche Frage innert 15 Minuten etwa 3 Mal, ohne jeweils die Antwort zu Ende hören zu können. Als ich ihm erklärte, dass es sich hierbei um Malicous Code und eine Backdoor handle, meinte er, dass ich doch nur mal eben schnell eine Antiviren-Lösung drüberlaufen sollte. Irgendwo müsse ja noch eine Lizenz von McAfee Antivirus sein. Das sollte doch gefälligst reichen, damit er in 15 Minuten seinen detaillierten Bericht hat. Meine Antwort darauf: "Wäre es so einfach, dann müsste ich mich nicht Experte schimpfen." Ein aktiver Antiviren-Scan ist im Grunde sehr primitiv. Durch die Automatisierung werden lediglich grundsätzliche Überprüfungen vorgenommen. So wird nach charakteristischen Merkmalen populären korrupten Programmcodes Ausschau gehalten, um diesen zu identifizieren. Typische Muster (engl. Pattern) im kompilierten Programmcode oder gleich ganze Hash-Signaturen von Dateien lassen so altbekannte Schädlinge schnell und effizient aufspüren. Doch neuartige und für die Antiviren-Lösung unbekannte Hintertüren lassen sich so nicht identifizieren. Die Fra- 1/16

2 scip monthly Security Summary ge ist nun: Wie gross ist die Chance, dass jemand eine komplett neue Hintertür schreibt, die von den aktuellen Antiviren-Produkten nicht erkannt wird? Die Antwort ist einfach: Sehr gross! Das Schreiben einer Hintertür ist sehr einfach. Egal, ob es sich nun hierbei um einen passiven Keylogger handelt, der die Daten sammelt und später per Mail rausschickt, oder ob es sich um ein interaktives Remote-Control-Utility handelt, das im Stil von NetBus eine Interaktion auf der Basis des Client/Server-Prinzips erlaubt. Im Rahmen unserer Penetration Tests entwickeln wir oftmals eigene Hintertüren, die dann halt eben bei Kunden eingeschmuggelt werden sollen. Diese schicken uns entweder sensitive Daten heraus oder sie lassen eine Interaktion zu. Funktioniert hat das bisher immer. Überall dort, wo bei Kunden das Ausführen von (Binär-) Dateien erlaubt ist. Die verwunderte Reaktion, dass die Antiviren-Lösung dies doch frühzeitig entdecken hätten sollen, ist da dann nichts Besonderes. Viele Nutzer glauben halt noch immer, dass ein Antiviren-Produkt vollumfänglich und ohne Macken seine Arbeit verrichtet. Dies war aber noch nie so und wird auch nie so sein. Im Falle dieser forensischen Analyse - sie dauerte schlussendlich mehrere Manntage - kam es zu einer Anzeige gegen Unbekannt, die ein Rechtshilfebegehren an verschiedene Länder zur Folge hatte. Es wird zwar darüber gemunkelt, wer für den Einbruch verantwortlich sein könnte (ein ehemaliger Mitarbeiter). Wie immer mahlen die Mühlen der Justiz jedoch sehr langsam. Und hinter vorgehaltener Hand wurde mir von den Behörden mitgeteilt, dass die Chancen auf Erfolg - trotz solider technischer Beweisführungen - eher gering sind. Das Thema Cybercrime geniesst halt doch ein sehr niederes Mass an Priorität. Diese Geschichte ist jedoch, sollte ich sie irgendwann vollumfänglich an die Öffentlichkeit tragen dürfen, von bester Unterhaltung. Zum gegenwärtigen Zeitpunkt darf man sich zu den laufenden Ermittlungen jedoch nicht äussern. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 6. November 6 2. scip AG Informationen 2.1 Phishing in der Sendung 1 vor 1 des SF Schweizer Fernsehen Die Phishing Angriffe auf die Migros Bank ( im August 6 und der Halbjahresbericht der amtlichen Melde- und Analysestelle Informationssicherung (I/6) ( veranlasste das Nachrichtenformat 1 vor 1 des staatlichen schweizerischen Fernsehens SF ( vergleichbar mit dem Heute Journal des ZDF ( einen Beitrag über Informations Sicherheit zu erstellen und am 16. November 6 auszustrahlen. Da die scip AG im Verlauf ihrer Tätigkeiten und Aufträge oft mit entsprechenden Techniken konfrontiert wird und diese in Absprache mit den Auftraggeber auch selbst anwendet wurde sie zur aktuelleren Attacke und dem Halbjahresbericht befragt. Dazu wurde Herr Simon Zumstein in den Büroräumlichkeiten der scip AG interviewt. 2/16

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Okt 6 Nov 6 sehr kritisch 1 kritisch problematisch Contents: 3.1 Sun JRE und JDK bis 5..7 Runtime Environment Swing Library erweiterte Rechte 3.2 Microsoft Windows, XP und Server 3 Client Service for Netware Denial of Service 3.3 Microsoft Windows, XP und Server 3 Agent ActiveX korrupte ACF-Datei Pufferüberlauf 3.4 Microsoft Windows, XP und Server 3 Client Service for Netware Pufferüberlauf 3.5 Microsoft Windows und XP Workstation Service Pufferüberlauf 3.6 3Com SuperStack 3 Switch 44 bis 6.1 Management-Anfragen gibt SNMP Community String preis 3.7 Citrix MetaFrame Presentation Server bis 4.x Independent Management Architecture IMA_SECURE_DecryptData1() Heap- Overflow 3.8 IBM Lotus Domino bis 7..2 Notes Remote Procedure Call Benutzer erweiterte Rechte 3.9 OpenSSH bis 4.5 Separation Monitor erweiterte Rechte 3.1 Mozilla Firefox bis Javascript andere Scripte modifizieren erweiterte Rechte 3.11 Linux Kernel bis 2.6.x IPv6 IP- Fragmentierung Filter umgehen 3.12 Microsoft Windows und XP GDI Kernel Strukturen erweiterte Rechte 3.13 Microsoft Windows, XP und Server 3 XML Core Services XMLHTTP 4. ActiveX Control erweiterte Rechte 3.14 PHP bis 5.1.x HTML-Funktionen Pufferüberlauf 3.15 SAP Web Application Server bis 7. unbekannter Fehler erweiterte Leserechte 3.16 Cisco Security Agent bis LDAP Nullpasswort fehlerhafte Authentisierung 3.17 phpmyadmin bis UTF-7 Codierung Cross Site Scripting 3.18 Microsoft Windows XP Windows NAT Helper Components ipnathlp.dll DNS- Abfrage Denial of Service 3.19 Microsoft Internet Explorer 7 target erweiterte Rechte 3.2 Novell edirectory bis evtfilteredmonitoreventsrequest() Integer-Overflow 3.21 RIM BlackBerry Enterprise Server for Domino bis Hotfix 1 Meetings Denial of Service 3.22 Digium Asterisk bis chan_skinny get_input() Heap-Overflow 3.1 Sun JRE und JDK bis 5..7 Runtime Environment Swing Library erweiterte Rechte Datum: scip DB: Java ist eine von Sun entwickelte plattformunabhängige Programmiersprache und nicht mit Java-Script zu vergleichen. Die Plattformunabhängigkeit wird dadurch erreicht, dass der kompilierte Programmcode zur Laufzeit interpretiert wird. Sehr gern wird Java auf Webseiten genutzt. Um den Missbrauch und erweiterte Rechte durch ein Java-Applet zu verhindern, wird dieses in einer sogenannten Sandbox ausgeführt. In dieser werden die Zugriffe auf Systemressourcen und Ressourcen anderer Benutzer oder Programme eingeschränkt oder gar verhindert. Tom Hawtin hat entdeckt, dass sich über die Runtime Environment Swing Library die Sandbox umgehen lässt und damit Zugriffe auf geschützte Objekte möglich werden. Technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde Im JRE/JDK 5. Update 8 behoben. 3/16

4 scip monthly Security Summary Dieses Problem zeigt einmal mehr auf, wie undurchsichtig Java und seine Implementation sind. Der Skeptizismus gegenüber dieser plattformunabhängigen Sprache ist also auch weiterhin nachvollziehbar. 3.2 Microsoft Windows, XP und Server 3 Client Service for Netware Denial of Service Die beiden Betriebssysteme Microsoft Windows und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Im Rahmen des Microsoft Patchday November 6 wurden mitunter zwei Schwachstellen in Netware-Komponenten für die besagten Windows-Versionen bekannt. Sam Arun Raj von McAfee hat eine nicht näher beschriebene Denial of Service-Schwachstelle identifiziert. Technische Details oder ein Exploit sind nicht bekannt. Auch dieser Fehler wurde entsprechend mit einem Patch behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Eine Vielzahl neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.3 Microsoft Windows, XP und Server 3 Agent ActiveX korrupte ACF-Datei Pufferüberlauf Datum: scip DB: Datum: scip DB: Microsoft Windows ist ein professionelles Betriebssystem, das jedoch nach und nach durch den Nachfolger Microsoft Windows XP bzw. Server 3 abgelöst wird. Im Microsoft Security Bulletin MS6-68 wird eine Pufferüberlauf- Schwachstelle im Microsoft Agent ActiveX Control, mit den besagten Windows-Versionen ausgeliefert wird, dokumentiert. Mittels korrupten ACF-Dateien können Angreifer beliebigen Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde mittels Patch im Rahmen des Patchday November 6 behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Eine Vielzahl neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.4 Microsoft Windows, XP und Server 3 Client Service for Netware Pufferüberlauf Datum: scip DB: Die beiden Betriebssysteme Microsoft Windows und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Im Rahmen des Microsoft Patchday November 6 wurden mitunter zwei Schwachstellen in Netware-Komponenten für die besagten Windows-Versionen bekannt. Wird ein korruptes Paket an den Client Service for Netware geschickt, kann dieser über einen Pufferüberlauf beliebigen Programmcode ausführen lassen. Technische Details oder ein Exploit sind nicht bekannt. Auch dieser Fehler wurde entsprechend mit einem Patch behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Eine Vielzahl neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr 4/16

5 scip monthly Security Summary unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.5 Microsoft Windows und XP Workstation Service Pufferüberlauf Einstufung: sehr kritisch Datum: scip DB: Die beiden Betriebssysteme Microsoft Windows und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Im Rahmen des Microsoft Patchday November 6 wurde mitunter eine Schwachstelle im Workstation Service bekannt. Über einen Pufferüberlauf könne ein Angreifer beliebigen Programmcode ausführen. Grundlegende Details sind im eeye-advisory enthalten. Ein in Python geschriebener Exploit, der einen Domaincontroller im Zielnetzwerk benötigt, wurde kurze Zeit später auf milwrm.com publiziert. Microsoft hat im Microsoft Security Bulletin MS6-7 einen Patch bereitgestellt. Als Workaround wird das Filtern der Ports 139 und 445 mittels Firewalling empfohlen. Aufgrund der gegebenen Möglichkeiten ist auch hier mit einem Wurm im Stil von W32.Blaster.Worm, der verheehrende Schäden im August 3 angerichtet hat, zu rechnen. Man sollte aus den Fehlern der letzten Wurm- Verbreitung gelernt haben und unverzüglich Gegenmassnahmen einleiten (Firewalling aktivieren und Patches einspielen). Es ist nur eine Frage von Tagen, bis das Risiko sein Maximum erreichen wird Com SuperStack 3 Switch 44 bis 6.1 Management-Anfragen gibt SNMP Community String preis Die SuperStack Switches der Firma 3com sind nicht selten im professionellen Bereich eingesetzte Switches. Im Advisory 3COM-6-4 meldet der Hersteller eine kritische Schwachstelle in der Firmware bis 6.1. So können über Management-Pakete unter Umständen der SNMP Community Name in Erfahrung gebracht werden. Weitere Details oder ein Exploit sind nicht bekannt. Für registrierte Kunden von 3com stehen Upgrades der Firmware bereit. Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Da sich die Schwachstelle auch remote ausnutzen lässt, wird die Angriffsmöglichkeit spätestens beim Erscheinen eines handlichen Exploits ein eher hohes Mass an Popularität erreichen. 3.7 Citrix MetaFrame Presentation Server bis 4.x Independent Management Architecture IMA_SECURE_DecryptData1() Heap-Overflow Datum: scip DB: Datum: scip DB: Citrix MetaFrame ist eine kommerzielle Erweiterung zu Microsoft TerminalServer und erlaubt das Nutzen verschiedener Anwender einer Windows-Umgebung über das Netzwerk. Dieser Dienst ist mit dem seit Jahren unter Unix gebräuchlichen X11 vergleichbar. Eric Detoisien entdeckte einen Heap-Overflow, der sich über den Independent Management Architecture (IMA) Dienst, dieser wird standardmässig am Port tcp/2512 oder tcp/2513 eingesetzt, ausnutzen lässt. Der Fehler in der Funktion IMA_SECURE_DecryptData1() der Bibliothek ImaSystem.dll erlaubt dabei das Ausführen beliebigen Programmcodes. Weitere Details oder ein Exploit sind nicht bekannt. Citrix hat einen Hotfix für diesen und andere Fehler herausgegeben. Die Rechteausweitung innerhalb einer Citrix- Sitzung wird unter anderem im Artikel "Citrix under Attack" von Marc Ruef diskutiert ( ). Durch das Ausnutzen dieser Schwachstelle und dem Missbrauch der im besagten Artikel beschriebenen Möglichkeiten, lässt sich innert kürzester Zeit administrative Rechte auf einem Citrix-System erlangen. Ein Horror-Szenario, dem natürlich jeder Citrix-Administrator entgehen möchte. 5/16

6 scip monthly Security Summary IBM Lotus Domino bis 7..2 Notes Remote Procedure Call Benutzer erweiterte Rechte Datum: scip DB: Lotus Notes ist ein System für das Management und die Verarbeitung auch wenig strukturierter Informationen in elektronischer Form für einen heterogenen Anwenderkreis. Dabei ist diese Definition eng an den Begriff Groupware geknüpft, Lotus Notes galt (und gilt noch) lange Zeit als die Standard-Groupware-Plattform. Andrew Christensen der Firma FortConsult hat ein Advisory zu IBM Lotus Domino bis 7..2 publizieren lassen. Auf dem Port 1352 wird es möglich, dass über einen fehlerhaften Notes Remote Procedure Call eine Liste der aktiven Benutzer sowie deren ID-Files heruntergeladen können. Ein Angreifer kann so in den Besitz sensitiver Informationen kommen. Das Vorgehen wird im Advisory illustriert. Ein Exploit ist nicht bekannt. Der Fehler wurde in Fix Pack 2 (FP2) und 7..2 behoben. Als Workaround wird Firewalling für den betroffenen Port empfohlen. Alternativ kann die Variable BLOCK_LOOKUPID in der Datei notes.ini gesetzt und damit die erweiterten Zugriffe verhindert werden. Dies ist eine wirklich ungünstige Schwachstelle, die die Entwickler bei IBM in einem sehr schlechten Licht dastehen lässt. Professionelle Entwickler von Server- und Sicherheits- Anwendungen sollten derartige Schwachstellen erkennen und verhindern können. Wenigstens eine Standard-Einstellung, die vor erweiterten Zugriffen schützt, sollte verteilt werden. hingewiesen. Unter gewissen Umständen können Einschränkungen umgangen werden. In Kombination mit anderen Schwachstellen sei sodann das Erhalten erweiterter Rechte möglich. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde eben in der Version 4.5 behoben. Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Sollten Ihre Systeme verwundbar sein, sollten Sie schnellstmöglich auf eine aktuelle Software- Version updaten. 3.1 Mozilla Firefox bis Javascript andere Scripte modifizieren erweiterte Rechte Datum: scip DB: Das Mozilla-Projekt versucht mit Firefox einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Eine neue Schwachstelle, die im Mozilla Foundation Security Advisory 6-67 dokumentiert wird, lässt die Manipulation von Javascript-Bytecode anderer Scripte während der Programmausführung zu. Dadurch kann ein Angreifer erweiterte Rechte erlangen. Technische Details oder ein Exploit sind nicht bekannt. Dieser und einige andere Fehler wurden in Mozilla Firefox , welcher über das Autoupdate installiert oder von der Webseite heruntergeladen werden kann, behoben. 3.9 OpenSSH bis 4.5 Separation Monitor erweiterte Rechte Datum: scip DB: OpenSSH stellt eine freie Implementierung des Secure Shell (SSH) Protokolls zur Verfügung. Dank strenger Authentifikation und der verschlüsselten Kommunikation lassen sich durch das Client/Server-Prinzip sichere Verbindungen zwischen Hosts herstellen. In den Release Notes zur Version 4.5 wird auf ein Sicherheitsproblem im Separation Monitor In der Tat, das Mozilla-Projekt steht absolut in der Schusslinie, wenn es um neue Schwachstellen geht. Praktisch keine Woche vergeht, an der nicht irgendeine Sicherheitslücke in Firefox und co. Bekannt werden. Das Spiel wiederholt sich: Umso populärer eine Lösung wird, umso grösser ist das Interesse der Angreifer, sich mit den Schwachstellen dieser auseinanderzusetzen. Tragisch an dieser Geschichte ist jedoch, dass Mozilla angeblich explizit auf Sicherheit ausgelegt wurde und nicht die Fehler von Microsofts Webbrowser wiederholen will. Die Realität zeigt da jedoch etwas anderes. Mozilla ist halt nur ein weiteres Projekt, bei dem die Sicherheit zweitrangig ist - Ein Problem, das stets auf dem Rücken der Benutzer ausgetragen wird. 6/16

7 scip monthly Security Summary Linux Kernel bis 2.6.x IPv6 IP- Fragmentierung Filter umgehen Linux ist ein freies, UNIX-ähnliches Betriebssystem, das der General Public License (GPL) unterliegt. Es wurde 1991 vom Finnen Linus Torvalds ins Leben gerufen. Heute gilt es als grösster Konkurrent zum kommerziellen Windows-Betriebssystem aus dem Hause Microsoft. Marc Dowd von McAfee hat einen Designfehler in der IPv6-Implementierung des aktuellen Kernels gefunden. Unter gewissen Umständen ist es möglich, dass die Regel "ip6tables.. -p udp -j DROP" nicht greift und deshalb IPv6-Pakete am Paketfilter vorbeigeschmuggelt werden können. Das rudimentäre Vorgehen ist in der Meldung auf der Kernel-Mailingliste dokumentiert. Ein Exploit ist nicht bekannt. Das Problem wurde vorerst im GIT Repository behoben. Das erfolgreiche Ausnutzen dieses Angriffs setzt die Unterstützung von IPv6 am Zielsystem voraus. Dies ist relativ selten der Fall. Dennoch ist der Angriff interessant und in manchen Umgebungen für Angreifer von enormem Wert. Das Risiko sollte, ist denn IPv6 im Einsatz, nicht unterschätzt werden. Gegenmassnahmen anzustreben ist dringendst anzuraten Microsoft Windows und XP GDI Kernel Strukturen erweiterte Rechte Datum: scip DB: Remote: Indirekt Datum: scip DB: Die beiden Betriebssysteme Microsoft Windows und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Von Microsoft Windows werden KDI Kernel Datenstrukturen in das Global Shared Memory abgelegt, sofern eine Applikation mit GDI arbeitet (z.b. jede Anwendung mit einer grafischen Oberfläche). Diese Daten sind als Read-Only gespeichert, können jedoch von jedem anderen Prozess neu gemappt und mit zusätzlichen Rechten (Schreiben und Ausführen) versehen werden. Dadurch wird eine Manipulation möglich, die sich für eine lokale Denial of Service-Attacke oder gar das Ausführen von beliebigem Programmcode nutzen lässt. Technische Details sowie ein ein in C++ geschriebener Proof-of- Concept Exploit sind im Advisory MOKB enthalten. Als umfassende Lösung ist zur Zeit nicht bekannt. Das Problem betrifft Microsoft Windows Server 3 und Vista nicht. Die Sicherheitslücke erinnert an vergangene Tage, an denen auf Microsoft Windows NT 4. getadmin und sechole die grossen Renner waren. Es bleibt nun abzuwarten, ob und inwiefern Microsoft reagieren wird. Das Risiko ist, vor allem in professionellen Umgebungen, wo Mitarbeiter oftmals nur sehr wenige Benutzerrechte zugeteilt bekommen, sehr hoch Microsoft Windows, XP und Server 3 XML Core Services XMLHTTP 4. ActiveX Control erweiterte Rechte Datum: scip DB: Microsoft Windows ist ein professionelles Betriebssystem, das jedoch nach und nach durch den Nachfolger Microsoft Windows XP bzw. Server 3 abgelöst wird. Microsoft entdeckte im Internet einen -Day Exploit, der eine Schwachstelle im XMLHTTP 4. ActiveX Control der XML Core Services ausnutzt, um erweiterte Rechte zu erlangen. Dieses ist Teil moderner Windows-Systeme. Durch den Besuch einer Webseite lässt sich damit beliebiger Programmcode ausführen. Technische Details sind nicht bekannt. Microsoft hat eine Reihe von Workarounds zum Problem publiziert. Diese sind im Advisory nachzulesen. Dieses Problem könnte durchaus zu einem Renner bei Angreifern werden, wenn ein handlicher Exploit publiziert wird. Das Ausbleiben eines absoluten Horror-Szenarios ist deshalb gegeben, da "nur" Windows sowie Windows XP samt Server 3 betroffen sind, detaillierte technische Hintergrundinformationen und Exploits bisher fehlen. Dies soll aber nicht über die Gefahr hinwegtäuschen, die in derlei Umgebungen zu finden ist PHP bis 5.1.x HTML-Funktionen 7/16

8 scip monthly Security Summary Pufferüberlauf Datum: scip DB: PHP ist ein frei verfügbares open-source Skripting-Paket, das für sämtliche populären Betriebssysteme zur Verfügung steht und vorwiegend im Web-Bereich seine Anwendung findet. Stefan Esser fand eine sehr kritische Schwachstelle in den beiden Funktionen htmlentities() und htmlspecialchars(), die für die Verarbeitung von HTML-Eingaben genutzt werden. Problematisch an dieser Schwachstelle ist die relativ hohe Verbreitung - vor allem im Web- Bereich. Angreifer könnten entsprechend den Umstand nutzen, um das System zu kompromittieren. Das Umsetzen von Gegenmassnahmen ist deshalb in betroffenen Umgebungen von erhöhter Wichtigkeit. Vor allem die vermeintliche Einfachheit der Ausnutzung der Schwachstelle wird dazu führen, dass der eine oder andere die neue Schwäche zu seinem Vorteil nutzen werden will SAP Web Application Server bis 7. unbekannter Fehler erweiterte Leserechte Datum: scip DB: Diese Möglichkeit wird mit grösster Wahrscheinlichkeit in zukünftige Webserver- und CGI-Scanning-Tools miteinfliessen - Dies ist nur noch eine Frage der Zeit, sofern sich der Angriff halbwegs gescheit automatisieren lässt. Gegenmassnahmen auf exponierten Systemen umzusetzen ist deshalb dringendst empfohlen Cisco Security Agent bis LDAP Nullpasswort fehlerhafte Authentisierung Datum: scip DB: Die ursprünglich von der amerikanischen Firma Okena entwickelte Software StormWatch ist eine echte Intrusion Prevention-Lösung. Durch Systemcall-Interception werden unerlaubte Kernel-Zugriffe abgefangen und unterbunden, so dass schwerwiegende Programmierfehler wie Pufferüberlauf-Schwachstellen nicht durch Angreifer ausgenutzt werden können [ evention/]. Vor einiger Zeit wurde diese Technik durch den Branchenriesen Cisco aufgekauft und neu unter dem Namen Cisco Security Agent (CSA) vertrieben. Wie nun im Advisory cisco-sa csamc publiziert wurde, existiert eine Schwachstelle im Zusammenhang mit LDAP. Wird darüber eine Authentisierung eingesetzt, kann man sich mit einem gültigen Benutzernamen und einem leeren Passwort (mit einer Länge von ) erfolgreich am System anmelden. Der Fehler wurde durch den Hotfix behoben. Als Workaround wird vom Einsatz von LDAP abgeraten. SAP wurde 1972 von fünf ehemaligen Mitarbeitern der IBM gegründet. Mit NetWeaver soll der zunehmenden Komplexität der SAP- Produkte Rechnung getragen werden. Gegenwärtig bietet die SAP mit dem Produkt SAP NetWeaver, eine Plattform an, mit deren Hilfe unterschiedliche Business-Anwendungen integriert werden können. [ Nicob entdeckte zwei Fehler im SAP Web Application Server bis 7.. Einer davon erlaubt es, dass jede beliebige Datei auf dem Zielsystem mit den Rechten des Webservers gelesen werden kann. Weitere Details oder ein Exploit sind nicht bekannt. Das Problem wurde in der Version 6.4 mit dem Patch 136 und in der Version 7. mit dem Patch 66 behoben. Okena StormWatch bzw. Cisco Security Agent ist im Verbund mit einer Antiviren-, Firewallingund Intrusion Detection-Lösung am stärksten. Die einzelnen Elemente können in einem Gesamtkonzept die Schwächen der anderen ausbessern und so für ein Maximum an möglicher Sicherheit in einer Umgebung sorgen. Ironisch ist in diesem Fall, dass eben einer dieser Sicherheitslösungen einen Fehler aufweist - und dies nicht zum ersten Mal -, der die gesamte Sicherheit der Umgebung kompromittieren kann phpmyadmin bis UTF-7 Codierung Cross Site Scripting Datum: /16

9 scip monthly Security Summary phpmyadmin ist eine beliebte Web-Oberfläche für die SQL-Administration. Stefan Esser entdeckte eine Schwachstelle, die vom phpmyadmin Team durch das Announcement PMASA-6-6 publik gemacht wurde. Durch spezielle mit UTF-7 codierte Zeichenketten liessen sich Cross Site Scripting-Attacken umsetzen. Technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde in der Version behoben. Diese Möglichkeit wird mit grösster Wahrscheinlichkeit in zukünftige Webserver- und CGI-Scanning-Tools miteinfliessen - Dies ist nur noch eine Frage der Zeit, sofern sich der Angriff halbwegs gescheit automatisieren lässt. Gegenmassnahmen auf exponierten Systemen umzusetzen ist deshalb dringendst empfohlen Microsoft Windows XP Windows NAT Helper Components ipnathlp.dll DNS-Abfrage Denial of Service Microsoft Windows XP stellt eine Weiterentwicklung des professionellen Windows dar. Mitunter kann ein XP-System als einfacher Router betrieben werden, über den verschiedene Hosts eine Internetverbindung nutzen können. h7 hat einen in C geschriebenen Exploit publiziert, der auf diese Internetfreigabe eine Denial of Service-Attacke umsetzen kann. Der Fehler sitzt ind er Bibliothek ipnathlp.dll, die mit einer falschen DNS-Anfrage aus dem Tritt gebracht werden kann. Als Workaround wird eine zusätzliche Absicherung des Systems mittels Firewalling oder gar der Einsatz einer alternativen Lösung empfohlen. Diese Schwachstelle ist in erster Linie ärgerlich, denn durch den Denial of Service-Zugriff lässt sich der Betrieb ziemlich einfach stören. Administratoren sollten deshalb auf der Hut sein. Nicht funktionierende XP-Router deuten auf einen Angriff hin Microsoft Internet Explorer 7 target erweiterte Rechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Per Gravgaard hat einen Fehler in der kommenden Version 7 verifiziert, der am 1. Dezember 4 veröffentlicht wurde und schon die vorangehenden Versionen des Internet Explorers betroffen hat. Ist einem Angreifer der Name von Frames bzw. anderen Fenstern bekannt, kann er die Inhalte dieser übergreifend auslesen oder manipulieren. Das Mitlesen sensitiver Informationen, zum Eingaben bei einer Authentisierung, werden so möglich. Ein Exploit ist schon lange bekannt. Als Workaround wird lapidar empfohlen, lediglich vertrauenswürdige Seiten aufzusuchen. Besser sollte man jedoch auf ein alternatives Produkt ausweichen. Machte man früher Witze über Sendmail, weil praktisch jede Woche eine neue Sicherheitslücke bekannt wurde, mauserte sich der Internet Explorer langsam zum "buggiest program on planet earth". Mit der neuen Version 7 sollte sich dies ändern. Denn diese soll angeblich auch mit dem Fokus auf die Sicherheit entwickelt worden sein. Die letzten Tage wurden jedoch einige neue und altbekannte Fehler bekannt, die an der Versprechung von Microsoft zweifeln lassen. Ob es sich dabei um die letzten Kinderkrankheiten oder eine neue Serie schwerwiegender Fehler handelt, wird erst die Zukunft zeigen können. 3.2 Novell edirectory bis evtfilteredmonitoreventsrequest() Integer-Overflow scip DB: Datum: scip DB: Datum: scip DB: Datum: scip DB: Novell edirectory ist eine bekannte kommerzielle Lösung für Identity Management in grossen Umgebungen. Gleich mehrere Schwachstellen wurden zeitgleich in den aktuellen Versionen bekannt. Drei davon wurden als idefense- Advisory publiziert. Eines davon spricht von einem Integer-Overflow, der im Zusammenhang mit der Funktion 9/16

10 scip monthly Security Summary evtfilteredmonitoreventsrequest() ausgenutzt werden kann. Damit lässt sich beliebiger Programmcode ausführen. Weitere Details oder ein Exploit sind nicht bekannt. Dieser und die anderen über idefense publik gemachten Schwachstellen wurden im aktuellen FTF1 behoben. Als Workaround wird empfohlen den LDAP-Dienst in /etc/opt/novell/edirectory/conf zu deaktivieren. Es wurden zeitgleich vier Schwachstellen zu Novell edirectory publiziert. Da diese teilweise Angreifern Tür und Tor öffnen, sollte man umgehend die freigegebenen Patches installieren. Es ist damit zu rechnen, dass die neuen Schwachstellen aufgrund der hohen Verbreitung von Novell edirectory in professionellen Umgebungen grössere Beliebtheit erfahren werden RIM BlackBerry Enterprise Server for Domino bis Hotfix 1 Meetings Denial of Service Datum: scip DB: Overflow 3.22 Digium Asterisk bis chan_skinny get_input() Heap- Datum: scip DB: Asterisk ist eine open-source Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage bietet. Adam Boileau hat einen Heap-Overflow im Asterisk Skinny Channel Driver gefunden. Dieser betrifft die Funktion get_input(), über die bei aktiviertem chan_skinny beliebiger Programmcode ausgeführt werden kann. Der betroffene Teil im Quelltext wird kurz im Original-Advisory, das auf Full-Disclosure publiziert wurde, diskutiert. Ein Exploit zur Schwachstelle ist nicht bekannt. Der Fehler wurde in Asterisk sowie behoben. Dieses Problem ist ziemlich schwerwiegend, denn die Schwachstelle ist relativ einfach remote auszunutzen. Aus diesem Grund sollte man umgehend die aktuellste Version einspielen und die Sicherheitseinstellungen anpassen. BlackBerry ist eine kommerzielle Mobile-Lösung aus dem Hause Research In Motion Limited (RIM). Durch entsprechende BlackBerry- Handhelds kann stets ein Abgleich mit dem Enterprise Server umgesetzt werden, um stets bezüglich s und Terminen auf dem neuesten Stand zu sein. Zusätzlich werden auch Dienste für SMS, Webbrowser und Telefonie angeboten. In den Release Notes zum Hotfix 1 für die Version hält RIM fest, dass eine Denial of Service-Schwachstelle im Zusammenhang mit Lotus Domino besteht. Bei der Verarbeitung von Meetings könne ein Absturz realisiert werden. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde mit dem besagten Hotfix besd412hf1.msp behoben. Das BlackBerry-System ist auf dem Vormarsch und erste grossflächige Evaluierungen bzw. Integrationen haben begonnen. Schwachstellen wie diese fördern natürlich nicht den Verkauf der RIM-Lösung. Jedoch ist ein schnelles Ausmerzen von Schwachstellen ein gutes Zeichen und deutet auf Kompetenz des Herstellers hin. 1/16

11 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. November sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Sep Okt Nov Sep Okt Nov sehr kritisch 1 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit 2 1 Fehlende Authentifizierung 1 1 Fehlende Verschlüsselung 1 Fehlerhafte Leserechte Fehlerhafte Schreibrechte 1 1 Format String 1 3 Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung 4 3 Schw ache Verschlüsselung SQL-Injection 1 Symlink-Schw achstelle Umgehungs-Angriff 3 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 11/16

12 scip monthly Security Summary Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 12/16

13 scip monthly Security Summary Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 6 13/16

14 scip monthly Security Summary Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov sehr kritisch kritisch problematisch Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 14/16

15 scip monthly Security Summary Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 15/16

16 scip monthly Security Summary Literaturverzeichnis scip AG, 19. Februar 6, scip monthly Security Summary, smss Feedback scip AG, 19. März 6, scip monthly Security Summary, smss Feedback Auswertung Ruef, Marc, 22. Dezember 1, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, Ruef, Marc, 2, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-2, Seiten 1-14, Ruef, Marc, Februar 4, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, 6. Impressum Herausgeber: scip AG Technoparkstrasse 1 CH-85 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16