Fallstudie: Deaktivierung von Endpoint-Protection-Software auf nicht autorisierte Weise



Ähnliche Dokumente
Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

Anmeldung am System Kapitel 25

Anlegen eines DLRG Accounts

Anleitung. Verschieben des alten -Postfachs (z.b. unter Thunderbird) in den neuen Open Xchange-Account

Guide DynDNS und Portforwarding

Sicherheitslösung SMS-Code

DB2 Kurzeinführung (Windows)

Kurzanleitung der Gevopa Plattform

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Umstellung und Registrierung Release

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

plus Flickerfeld bewegt sich nicht

Betriebshandbuch. MyInTouch Import Tool

Welche Unterschiede gibt es zwischen einem CAPAund einem Audiometrie- Test?

Um sich zu registrieren, öffnen Sie die Internetseite und wählen Sie dort rechts oben

Leitfaden für die Mitgliederregistrierung auf der neuen Webseite des SFC-Erkelenz

Um die Installation zu starten, klicken Sie auf den Downloadlink in Ihrer (Zugangsdaten für Ihre Bestellung vom...)

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Kern Concept AG Software Entwicklung HMO und BlueEvidence

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Ohne Fehler geht es nicht Doch wie viele Fehler sind erlaubt?

MetaQuotes Empfehlungen zum Gebrauch von

ROOT ZERTIFIKATS INSTALLATION UNTER WINDOWS 7/VISTA

Installation & Konfiguration AddOn AD-Password Changer

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

Monitoring-Service Anleitung

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Einstiegshilfe für das Übersenden elektronischer Teilnahmebestätigungen an ÄrztInnen

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

VERWALTUNG. Postfächer, Autoresponder, Weiterleitungen, Aliases. Bachstraße 47, 3580 Mödring

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Computeria Solothurn

Clients in einer Windows Domäne für WSUS konfigurieren

Kurzanleitung Verwendung von USB-Sticks

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Zimmertypen. Zimmertypen anlegen

Einrichten eines Exchange-Kontos mit Outlook 2010

ANLEITUNG ZUR ERSTANMELDUNG ONLINE AN DER UNIVERSITÄT WIEN (FÜR ERASMUS-STUDIERENDE)

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

oder ein Account einer teilnehmenden Einrichtung also

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

Professionelle Seminare im Bereich MS-Office

Datenbank LAP - Chefexperten Detailhandel

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

EASYINSTALLER Ⅲ SuSE Linux Installation

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

HANDBUCH ZUR AKTIVIERUNG UND NUTZUNG DER HANDY-SIGNATUR APP

Dokumentation: Selbstregistrierung

M-net -Adressen einrichten - Apple iphone

Anleitung Captain Logfex 2013

Leichte-Sprache-Bilder

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

virtuos Leitfaden für die virtuelle Lehre

Klicke auf den Button "Hinzufügen" und wähle die Option " ", um einen neuen -account

Anleitung zum Einsetzen der Micro SIM Karte in das ipad

Microsoft Office 365 Kalenderfreigabe

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Durchführung der Datenübernahme nach Reisekosten 2011

Windows 7/8 - Backdoor

GDPdU Export. Modulbeschreibung. GDPdU Export. Software-Lösungen. Stand: Seite 1

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Leitfaden zur Nutzung von binder CryptShare

Kleines Handbuch zur Fotogalerie der Pixel AG

Unterstützung. der Windows Benutzerkontensteuerung. Netviewer Support v6.2 mit UAC- Unterstützung

EasyWk DAS Schwimmwettkampfprogramm

Subpostfächer und Vertretungen für Unternehmen

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Kurzanleitung Zugang Studenten zum BGS-Netzwerk (Mac) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/ Chur

3 Wie bekommen Sie Passwortlevel 3 und einen Installateurscode?

1. Allgemeines. Mit der Vertragsverwaltung können u.a.

Jahresabschluss Finanzbuchhaltung INGARA. Provisorisch und Definitiv. INGARA Version

Fotostammtisch-Schaumburg

Einrichten eines Exchange-Kontos mit Thunderbird

Erweiterungen Webportal

Kapitalerhöhung - Verbuchung

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

POP -Konto auf iphone mit ios 6 einrichten

Kurzinformation betreffend das Recht zur Verwendung bzw. Führung des burgenländischen Landeswappens. A) Allgemeines

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

QR-FUNKTION. Informationen über zu erledigende Aufgaben an das Reinigungspersonal senden.

1. fe.logon. 1.1 Konfigurationsprogramm SetLogonParams

Betriebswirtschaftliche Standardsoftware - Made for the WEB. ESS Enterprise Solution Server. Zeiterfassung. Release 6.0 Modul Zeiterfassung 1

Virtual Private Network

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Konfiguration des Mailtools Messenger in Netscape

Anleitung: Passwort-Self-Service-Portal

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Anleitung zur Installation und Freischaltung der Signaturlösung S-Trust für Mitglieder der Rechtsanwaltskammer des Landes Brandenburg

E-Cinema Central. VPN-Client Installation

Über den Link auf der Homepage des HVW unter Phönix den Link anklicken oder über den Internetbrowser

So erstellen Sie nützliche Beschreibungen zu Ihren Tradingdaten

Transkript:

Fallstudie: Deaktivierung von Endpoint-Protection-Software auf nicht autorisierte Weise Wie man die Passwort-basierte Authentizierung für das Entladen von Trend Micro OceScan umgeht Dipl.-Inform. Matthias Deeg Dipl.-Inform. Sebastian Schreiber 18. Juni, 2012

1 Einleitung Endpoint-Protection-Software wie Antiviren- oder Firewall-Software bieten Benutzern oftmals die Funktion, den angebotenen Schutz durch die Eingabe eines Passworts zu deaktivieren. In manchen Fällen kann dabei die Schutzfunktion nur temporär für wenige Minuten abgeschaltet werden, in anderen Fällen bis zu einer erneuten manuellen Aktivierung oder einem Neustart des Systems. Diese Funktion kann in gewissen Situation für den IT-Support hilfreich sein. Aber ist die Passwort-basierte Authentizierung nicht sicher umgesetzt, so können Angreifer oder Schadsoftware die Schutzfunktion auf nicht autorisierte Weise deaktivieren ohne das korrekte Passwort zu kennen, wodurch die Endpoint-Protection-Software nicht ihren Zweck erfüllt. In dieser Fallstudie demonstriert die dieses Sicherheitsproblem am Beispiel der Antivirensoftware Trend Micro OfficeScan. 2 Sicherheitsanalyse In manchen Kongurationen bietet die Antivirensoftware Trend Micro OfficeScan nicht-administrativen, eingeschränkten Windows-Benutzern die Möglichkeit, die Antivirensoftware mit einem Unload-Passwort zu deaktivieren, wie Abbildung 1 mit der Darstellung des entsprechenden Menüpunktes zeigt. Abbildung 1: Option um Trend Micro OfficeScan zu deaktivieren Um Trend Micro OfficeScan zu deaktivieren, muss der Benutzer das korrekte Unload-Passwort in einem entsprechenden Dialogfenster eingeben, welches in Abbildung 2 dargestellt wird. 2

Abbildung 2: Passworteingabe um Trend Micro OfficeScan zu deaktivieren Wird dabei ein falsches Passwort eingegeben, so wird die in Abbildung 3 gezeigte Fehlermeldung ausgegeben. Abbildung 3: Fehlermeldung bei der Eingabe eines falschen Passworts Bei der Analyse der Passwort-basierten Authentizierung für die Deaktivierung von Trend Micro OfficeScan stellte die fest, dass der Passwortvergleich innerhalb des Prozesses pccntmon.exe stattndet, der im Kontext des aktuellen Windows-Benutzers ausgeführt wird. Bei dem Benutzer kann es sich dabei auch um einen Standardbenutzer mit eingeschränkten Benutzerberechtigungen handeln. Diese Tatsache erlaubt eine weitere Analyse und was noch viel interessanter ist die Manipulation des Passwortvergleichs zur Laufzeit ohne administrative Berechtigungen, da jeder Benutzer in der Lage ist diejenigen Prozesse zu debuggen und zu manipulieren, die mit seinen Benutzerberechtigungen laufen. Abbildung 4 zeigt den entsprechenden Code für den Vergleich des MD5-Hash-Werts des eingegebenen Benutzerpassworts mit dem MD5-Hash-Wert des korrekten Unload- 3

Passworts für eine 32-Bit-Softwareversion von TrendMicro OfficeScan im Windows-Debugger OllyDbg 1. Abbildung 4: Vergleich von MD5-Hash-Werten Um diese Passwort-basierte Authentizierung zu umgehen, muss ein Angreifer lediglich diesen Passwortvergleich modizieren, sodass er immer erfolgreich ist, beispielsweise indem das korrekte Unload-Passwort mit sich selbst verglichen wird. Darüber hinaus besteht die Möglichkeit, den MD5-Hash-Wert des korrekten Unload- Passworts zu extrahieren, um das entsprechende Passwort mit Hilfe eines Password Recovery-Tools, wie beispielsweise John the Ripper 2, wiederherzustellen. Die notwendigen Schritte, um die Antivirensoftware Trend Micro OfficeScan zu deaktivieren, können auch vollständig automatisiert durchgeführt werden, sodass diese Sicherheitsschwäche auch von Schadsoftware ausgenutzt werden kann. 1 http://www.ollydbg.de/ 2 http://www.openwall.com/john/ 4

3 Empfehlung Die empehlt, den Passwortvergleich nicht innerhalb des Prozesses pccntmon.exe durchzuführen, der im Kontext das aktuellen Benutzers mit dessen Berechtigungen läuft, sondern innerhalb eines Dienstprozesses von Trend Micro OfficeScan, der mit höheren Berechtigungen ausgeführt wird, wie etwa SYSTEM-Rechten. In diesem Fall kann ein Windows-Benutzer mit eingeschränkten Rechten oder Schadsoftware, die in seinem Kontext zur Ausführung kommt, nicht den Passwortvergleich von Trend Micro OfficeScan zur Laufzeit manipulieren, um die Antivirensoftware auf nicht autorisierte Weise zu deaktivieren. Die informierte den Hersteller Trend Micro am 26. April 2012 über diese Schwachstelle. Nach Informationen von Trend Micro wurde die demonstrierte Schwachstelle, die eine Deaktivierung von Trend Micro OfficeScan auf eine nicht autorisierte Weise ermöglicht, mit dem kürzlich veröentlichten Service Pack für die Antivirensoftware Trend Micro OfficeScan behoben. 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback