scip ag

Transcrição

scip ag

scip ag
Contents
1.
Editorial
2.
scip AG Informationen
3.
Neue Sicherheitslücken
4.
Statistiken Verletzbarkeiten
5.
Bilderrätsel
6.
Literaturverzeichnis
7.
Impressum
1.
Editorial
scip monthly Security Summary 19.11.2006
Antivirus ersetzt keine forensische Analyse
Gar nicht lange ist es her, da wurde ich als Forensiker zu einem elektronischen Einbruch berufen. Eine erste Analyse der Umgebung hatte
gezeigt, dass diese sowohl konzeptionell als auch
technisch zu grossen Teilen ungeschützt war und
eine Kompromittierung mit wenigen Mausklicks
zu bewerkstelligen gewesen wäre. Die erste forensische Analyse hat gezeigt, dass der Fall einer
erfolgreichen Übernahme des einen oder anderen Systems wirklich gegeben war. Durch uralte
SSH-Dienste liess sich beispielsweise beliebiger
Programmcode ausführen und damit neue Benutzer mit erweiterten Zugangsrechten durch
einen Angreifer erstellen. Ein Horror-Szenario,
das die meisten Firmen - sowohl den Techniker
als auch den Manager - nervös machen würde.
Derlei Nervosität verhindert es oftmals, dass die
involvierten Personen klar und strukturiert denken können. Hektische Schnellschussreaktionen
werden überstürzt umgesetzt und damit Fehler
und ineffizientes Vorgehen provoziert. Erstaunlicherweise sind es dann oftmals die Herren in der
Management-Ebene, welche die Nerven verlieren
und sich mit unsinnigen Aktionen an die letzten
Strohhalme klammern. Manchmal wäre es halt
doch besser gewesen, hätte man den überlasteten Administratoren die Zeit eingeräumt, die aktuellsten Patches einzuspielen...
In solchen Situationen wollen Kunden oftmals
innert weniger Minuten ein Lagebericht. Ich habe
in der Regel keine Mühe damit, diesen vorzutragen. Doch oft will der gereizte Manager, dass
man innerhalb von 15 Minuten genau sagen
kann, welche Systeme übernommen wurden, wer
die Angreifer sind und wie er es gemacht hat.
Forensische Analysen, die mit verlässlichen Aussagen glänzen wollen und vor Gericht gebracht
werden können, brauchen Zeit. Da müssen Systeme auf tiefster Ebene begutachtet werden. Das
Einsehen von Log-Dateien ist noch die leichteste
Übung. Aktives Live-Reversing (Auslesen von
Prozessen,
Überwachen
von
Datei/Registryzugriffen sowie Netzwerkkommunikationen) kann eine langwierige Aufgabe sein - Vor
allem, wenn jemand am Werk war, der viel Zeit
und Energie aufbringen konnte.
Bei dieser Geschichte war es tatsächlich so, dass
sich die eingebrachten Hintertüren nur in gewissen Situationen aktiv verhielten. Das Aufspüren
dieser war also eher ein "auf der Lauer liegen",
um eine verdächtige Regung zu lokalisieren und
dieser Nachzugehen. Solange sich der Angreifer
bzw. seine Hintertüren nicht bewegten, konnte
ich nicht viel machen. Dies versuchte ich auch so
dem CEO darzulegen, der sich aufgrund der
Hektik schon gar nicht mehr richtig die Zeit nehmen wollte, sich meine Expertise anzuhören. Er
fragte die gleiche Frage innert 15 Minuten etwa 3
Mal, ohne jeweils die Antwort zu Ende hören zu
können. Als ich ihm erklärte, dass es sich hierbei
um Malicous Code und eine Backdoor handle,
meinte er, dass ich doch nur mal eben schnell
eine Antiviren-Lösung drüberlaufen sollte. Irgendwo müsse ja noch eine Lizenz von McAfee
Antivirus sein. Das sollte doch gefälligst reichen,
damit er in 15 Minuten seinen detaillierten Bericht
hat. Meine Antwort darauf: "Wäre es so einfach,
dann müsste ich mich nicht Experte schimpfen."
Ein aktiver Antiviren-Scan ist im Grunde sehr
primitiv. Durch die Automatisierung werden lediglich grundsätzliche Überprüfungen vorgenommen. So wird nach charakteristischen Merkmalen
populären korrupten Programmcodes Ausschau
gehalten, um diesen zu identifizieren. Typische
Muster (engl. Pattern) im kompilierten Programmcode oder gleich ganze Hash-Signaturen
von Dateien lassen so altbekannte Schädlinge
schnell und effizient aufspüren. Doch neuartige
und für die Antiviren-Lösung unbekannte Hintertüren lassen sich so nicht identifizieren. Die Fra-
1/16
s c i p
a g
© scip AG
ge ist nun: Wie gross ist die Chance, dass jemand eine komplett neue Hintertür schreibt, die
von den aktuellen Antiviren-Produkten nicht erkannt wird? Die Antwort ist einfach: Sehr gross!
Das Schreiben einer Hintertür ist sehr einfach.
Egal, ob es sich nun hierbei um einen passiven
Keylogger handelt, der die Daten sammelt und
später per Mail rausschickt, oder ob es sich um
ein interaktives Remote-Control-Utility handelt,
das im Stil von NetBus eine Interaktion auf der
Basis des Client/Server-Prinzips erlaubt.
Im Rahmen unserer Penetration Tests entwickeln
wir oftmals eigene Hintertüren, die dann halt
eben bei Kunden eingeschmuggelt werden sollen. Diese schicken uns entweder sensitive Daten
heraus oder sie lassen eine Interaktion zu. Funktioniert hat das bisher immer. Überall dort, wo bei
Kunden das Ausführen von (Binär-) Dateien erlaubt ist. Die verwunderte Reaktion, dass die
Antiviren-Lösung dies doch frühzeitig entdecken
hätten sollen, ist da dann nichts Besonderes.
Viele Nutzer glauben halt noch immer, dass ein
Antiviren-Produkt vollumfänglich und ohne Macken seine Arbeit verrichtet. Dies war aber noch
nie so und wird auch nie so sein.
Im Falle dieser forensischen Analyse - sie dauerte schlussendlich mehrere Manntage - kam es zu
einer Anzeige gegen Unbekannt, die ein Rechtshilfebegehren an verschiedene Länder zur Folge
hatte. Es wird zwar darüber gemunkelt, wer für
den Einbruch verantwortlich sein könnte (ein
ehemaliger Mitarbeiter). Wie immer mahlen die
Mühlen der Justiz jedoch sehr langsam. Und
hinter vorgehaltener Hand wurde mir von den
Behörden mitgeteilt, dass die Chancen auf Erfolg
- trotz solider technischer Beweisführungen eher gering sind. Das Thema Cybercrime geniesst halt doch ein sehr niederes Mass an Priorität. Diese Geschichte ist jedoch, sollte ich sie
irgendwann vollumfänglich an die Öffentlichkeit
tragen dürfen, von bester Unterhaltung. Zum
gegenwärtigen Zeitpunkt darf man sich zu den
laufenden Ermittlungen jedoch nicht äussern.
2.
scip AG Informationen
2.1 Phishing in der Sendung 10 vor 10
des SF Schweizer Fernsehen
Die Phishing Angriffe auf die Migros Bank
(http://www.migrosbank.ch) im August 2006 und
der Halbjahresbericht der amtlichen Melde- und
Analysestelle Informationssicherung (I/2006)
(http://www.melani.admin.ch/) veranlasste das
Nachrichtenformat 10 vor 10 des staatlichen
schweizerischen
Fernsehens
SF
(http://www.sf.tv), vergleichbar mit dem Heute
Journal des ZDF (http://www.zdf.de), einen Beitrag über Informations Sicherheit zu erstellen und
am 16. November 2006 auszustrahlen.
Da die scip AG im Verlauf ihrer Tätigkeiten und
Aufträge oft mit entsprechenden Techniken konfrontiert wird und diese in Absprache mit den
Auftraggeber auch selbst anwendet wurde sie zur
aktuelleren Attacke und dem Halbjahresbericht
befragt. Dazu wurde Herr Simon Zumstein in den
Büroräumlichkeiten der scip AG interviewt.
Marc Ruef <maru-at-scip.ch>
Security Consultant
Zürich, 6. November 2006
2/16
s c i p
a g
© scip AG
3.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere
Sicherheitslücken sind unentgeltlich in
unserer
Datenbank
unter
http://www.scip.ch/cgi-bin/smss/showadvf.pl einsehbar.
Die Dienstleistungspakete)scip( pallas
liefern Ihnen jene Informationen, die
genau für Ihre Systeme relevant sind.
50
40
30
20
10
0
Okt 06
Nov 06
sehr kritisch
0
1
kritisch
27
22
problematisch
39
25
3.12 Microsoft Windows 2000 und XP GDI
Kernel Strukturen erweiterte Rechte
3.13 Microsoft Windows 2000, XP und Server
2003 XML Core Services XMLHTTP 4.0
ActiveX Control erweiterte Rechte
3.14 PHP bis 5.1.x HTML-Funktionen Pufferüberlauf
3.15 SAP Web Application Server bis 7.00 unbekannter Fehler erweiterte Leserechte
3.16 Cisco Security Agent bis 5.1.0.79 LDAP
Nullpasswort fehlerhafte Authentisierung
3.17 phpMyAdmin bis 2.9.0.3 UTF-7 Codierung
Cross Site Scripting
3.18 Microsoft Windows XP Windows NAT
Helper Components ipnathlp.dll DNSAbfrage Denial of Service
3.19 Microsoft Internet Explorer 7 target erweiterte Rechte
3.20 Novell eDirectory bis 8.8.1 evtFilteredMonitorEventsRequest() Integer-Overflow
3.21 RIM BlackBerry Enterprise Server for
Domino bis 4.1.2 Hotfix 1 Meetings Denial
of Service
3.22 Digium Asterisk bis 1.2.13 chan_skinny
get_input() Heap-Overflow
Contents:
3.1
Sun JRE und JDK 1.4.2 bis 5.0.7 Runtime
Environment Swing Library erweiterte
Rechte
2003 Client Service for Netware Denial of
Service
2003 Agent ActiveX korrupte ACF-Datei
Pufferüberlauf
2003 Client Service for Netware Pufferüberlauf
3.5 Microsoft Windows 2000 und XP Workstation Service Pufferüberlauf
3.6 3Com SuperStack 3 Switch 4400 bis 6.10
Management-Anfragen gibt SNMP Community String preis
3.7 Citrix MetaFrame Presentation Server bis
4.x Independent Management Architecture
IMA_SECURE_DecryptData1() HeapOverflow
3.8 IBM Lotus Domino bis 7.0.2 Notes Remote
Procedure Call Benutzer erweiterte Rechte
3.9 OpenSSH bis 4.5 Separation Monitor erweiterte Rechte
3.10 Mozilla Firefox bis 1.5.0.8 Javascript andere Scripte modifizieren erweiterte Rechte
3.11 Linux Kernel bis 2.6.x IPv6 IPFragmentierung Filter umgehen
3.1 Sun JRE und JDK 1.4.2 bis 5.0.7
Runtime Environment Swing
Library erweiterte Rechte
Einstufung: kritisch
Remote:
Ja
Datum:
15.11.2006
scip DB:
http://www.scip.ch/cgibin/smss/showadvf.pl?id=2693
Java
ist
eine
von
Sun
entwickelte
plattformunabhängige Programmiersprache und
nicht mit Java-Script zu vergleichen. Die
Plattformunabhängigkeit wird dadurch erreicht,
dass der kompilierte Programmcode zur Laufzeit
interpretiert wird. Sehr gern wird Java auf
Webseiten genutzt. Um den Missbrauch und
erweiterte Rechte durch ein Java-Applet zu
verhindern, wird dieses in einer sogenannten
Sandbox ausgeführt. In dieser werden die
Zugriffe auf Systemressourcen und Ressourcen
anderer
Benutzer
oder
Programme
eingeschränkt oder gar verhindert. Tom Hawtin
hat entdeckt, dass sich über die Runtime
Environment Swing Library die Sandbox
umgehen lässt und damit Zugriffe auf geschützte
Objekte möglich werden. Technische Details
oder ein Exploit sind nicht bekannt. Der Fehler
wurde Im JRE/JDK 5.0 Update 8 behoben.
3/16
s c i p
a g
© scip AG
Expertenmeinung:
Dieses Problem zeigt einmal mehr auf, wie
undurchsichtig Java und seine Implementation
sind. Der Skeptizismus gegenüber dieser
plattformunabhängigen Sprache ist also auch
weiterhin nachvollziehbar.
3.2 Microsoft Windows 2000, XP und
Server 2003 Client Service for
Netware Denial of Service
Remote:
Ja
Datum:
14.11.2006
scip DB:
Die beiden Betriebssysteme Microsoft Windows
2000 und XP sind eine Weiterentwicklung des
professionellen Microsoft Windows NT Systems.
Es existieren Versionen für den Einsatz als
Server und solche für den Workstation-Betrieb.
Im Rahmen des Microsoft Patchday November
2006 wurden mitunter zwei Schwachstellen in
Netware-Komponenten
für
die
besagten
Windows-Versionen bekannt. Sam Arun Raj von
McAfee hat eine nicht näher beschriebene Denial
of Service-Schwachstelle identifiziert. Technische
Details oder ein Exploit sind nicht bekannt. Auch
dieser Fehler wurde entsprechend mit einem
Patch behoben.
Expertenmeinung:
Einmal mehr ist der Patchday von Microsoft ein
verheissungsvoller Tag für den Hersteller, die
Administratoren und Nutzer. Eine Vielzahl neue
und
zum
Grossteil
schwerwiegende
Schwachstellen mussten anerkannt und mit
Patches honoriert werden. Das Einspielen dieser
dürfte für so manchen Administrator eine sehr
unangenehme Aufgabe sein, die jedoch
dringlichst zu empfehlen ist. Es ist nur eine Frage
der Zeit, bis die jüngsten Sicherheitslücken durch
neue Würmer, Viren und Exploits automatisiert
ausgenutzt werden können. Eile tut deshalb an
dieser Stelle Not.
Server 2003 Agent ActiveX
korrupte ACF-Datei Pufferüberlauf
Remote:
Ja
Datum:
14.11.2006
scip DB:
Microsoft Windows 2000 ist ein professionelles
Betriebssystem, das jedoch nach und nach durch
den Nachfolger Microsoft Windows XP bzw.
Server 2003 abgelöst wird. Im Microsoft Security
Bulletin MS06-068 wird eine PufferüberlaufSchwachstelle im Microsoft Agent ActiveX
Control, mit den besagten Windows-Versionen
ausgeliefert wird, dokumentiert. Mittels korrupten
ACF-Dateien können Angreifer beliebigen
Programmcode ausführen. Technische Details
oder ein Exploit sind nicht bekannt. Der Fehler
wurde mittels Patch im Rahmen des Patchday
November 2006 behoben.
Expertenmeinung:
und
zum
Grossteil
schwerwiegende
dieser Stelle Not.
Server 2003 Client Service for
Netware Pufferüberlauf
Remote:
Ja
Datum:
14.11.2006
scip DB:
2006 wurden mitunter zwei Schwachstellen in
Netware-Komponenten
für
die
besagten
Windows-Versionen bekannt. Wird ein korruptes
Paket an den Client Service for Netware
geschickt, kann dieser über einen Pufferüberlauf
beliebigen Programmcode ausführen lassen.
Technische Details oder ein Exploit sind nicht
bekannt. Auch dieser Fehler wurde entsprechend
mit einem Patch behoben.
Expertenmeinung:
und
zum
Grossteil
schwerwiegende
4/16
s c i p
a g
© scip AG
dieser Stelle Not.
3.5 Microsoft Windows 2000 und XP
Workstation Service Pufferüberlauf
Einstufung: sehr kritisch
Remote:
Ja
Datum:
14.11.2006
scip DB:
2006 wurde mitunter eine Schwachstelle im
Workstation Service bekannt. Über einen
Pufferüberlauf könne ein Angreifer beliebigen
Programmcode ausführen. Grundlegende Details
sind im eEye-Advisory enthalten. Ein in Python
geschriebener
Exploit,
der
einen
Domaincontroller im Zielnetzwerk benötigt, wurde
kurze Zeit später auf milw0rm.com publiziert.
Microsoft hat im Microsoft Security Bulletin
MS06-070 einen Patch bereitgestellt. Als
Workaround wird das Filtern der Ports 139 und
445 mittels Firewalling empfohlen.
Expertenmeinung:
Aufgrund der gegebenen Möglichkeiten ist auch
hier
mit
einem
Wurm
im
Stil
von
W32.Blaster.Worm, der verheehrende Schäden
im August 2003 angerichtet hat, zu rechnen. Man
sollte aus den Fehlern der letzten WurmVerbreitung gelernt haben und unverzüglich
Gegenmassnahmen
einleiten
(Firewalling
aktivieren und Patches einspielen). Es ist nur
eine Frage von Tagen, bis das Risiko sein
Maximum erreichen wird.
3.6 3Com SuperStack 3 Switch 4400
bis 6.10 Management-Anfragen
gibt SNMP Community String preis
Remote:
Ja
Datum:
14.11.2006
scip DB:
Die SuperStack Switches der Firma 3com sind
nicht
selten
im
professionellen
Bereich
eingesetzte Switches. Im Advisory 3COM-06-004
meldet
der
Hersteller
eine
kritische
Schwachstelle in der Firmware bis 6.10. So
können
über
Management-Pakete
unter
Umständen der SNMP Community Name in
Erfahrung gebracht werden. Weitere Details oder
ein Exploit sind nicht bekannt. Für registrierte
Kunden von 3com stehen Upgrades der
Firmware bereit.
Expertenmeinung:
Da nahezu keine Details zur Schwachstelle
bekannt sind, ist die Einschätzung sehr schwierig
und zum jetzigen Zeitpunkt nicht möglich. Da sich
die Schwachstelle auch remote ausnutzen lässt,
wird die Angriffsmöglichkeit spätestens beim
Erscheinen eines handlichen Exploits ein eher
hohes Mass an Popularität erreichen.
3.7 Citrix MetaFrame Presentation
Server bis 4.x Independent
Management Architecture
IMA_SECURE_DecryptData1()
Heap-Overflow
Remote:
Ja
Datum:
10.11.2006
scip DB:
Citrix MetaFrame ist eine kommerzielle
Erweiterung zu Microsoft TerminalServer und
erlaubt das Nutzen verschiedener Anwender
einer Windows-Umgebung über das Netzwerk.
Dieser Dienst ist mit dem seit Jahren unter Unix
gebräuchlichen X11 vergleichbar. Eric Detoisien
entdeckte einen Heap-Overflow, der sich über
den Independent Management Architecture (IMA)
Dienst, dieser wird standardmässig am Port
tcp/2512 oder tcp/2513 eingesetzt, ausnutzen
lässt.
Der
Fehler
in
der
Funktion
IMA_SECURE_DecryptData1() der Bibliothek
ImaSystem.dll erlaubt dabei das Ausführen
beliebigen Programmcodes. Weitere Details oder
ein Exploit sind nicht bekannt. Citrix hat einen
Hotfix
für
diesen
und
andere
Fehler
herausgegeben.
Expertenmeinung:
Die Rechteausweitung innerhalb einer CitrixSitzung wird unter anderem im Artikel "Citrix
under Attack" von Marc Ruef diskutiert
(http://www.computec.ch/download.php?view.747
). Durch das Ausnutzen dieser Schwachstelle
und dem Missbrauch der im besagten Artikel
beschriebenen Möglichkeiten, lässt sich innert
kürzester Zeit administrative Rechte auf einem
Citrix-System erlangen. Ein Horror-Szenario, dem
natürlich jeder Citrix-Administrator entgehen
möchte.
5/16
s c i p
a g
© scip AG
3.8 IBM Lotus Domino bis 7.0.2 Notes
Remote Procedure Call Benutzer
erweiterte Rechte
Remote:
Ja
Datum:
09.11.2006
scip DB:
Lotus Notes ist ein System für das Management
und die Verarbeitung auch wenig strukturierter
Informationen in elektronischer Form für einen
heterogenen Anwenderkreis. Dabei ist diese
Definition eng an den Begriff
“Groupware”
geknüpft, Lotus Notes galt (und gilt noch) lange
Zeit als die Standard-Groupware-Plattform.
Andrew Christensen der Firma FortConsult hat
ein Advisory zu IBM Lotus Domino bis 7.0.2
publizieren lassen. Auf dem Port 1352 wird es
möglich, dass über einen fehlerhaften Notes
Remote Procedure Call eine Liste der aktiven
Benutzer sowie deren ID-Files heruntergeladen
können. Ein Angreifer kann so in den Besitz
sensitiver Informationen kommen. Das Vorgehen
wird im Advisory illustriert. Ein Exploit ist nicht
bekannt. Der Fehler wurde in 6.5.5 Fix Pack 2
(FP2) und 7.0.2 behoben. Als Workaround wird
Firewalling für den betroffenen Port empfohlen.
Alternativ kann die Variable BLOCK_LOOKUPID
in der Datei notes.ini gesetzt und damit die
erweiterten Zugriffe verhindert werden.
Expertenmeinung:
Dies ist eine wirklich ungünstige Schwachstelle,
die die Entwickler bei IBM in einem sehr
schlechten Licht dastehen lässt. Professionelle
Entwickler von Server- und SicherheitsAnwendungen sollten derartige Schwachstellen
erkennen und verhindern können. Wenigstens
eine Standard-Einstellung, die vor erweiterten
Zugriffen schützt, sollte verteilt werden.
3.9 OpenSSH bis 4.5 Separation
Monitor erweiterte Rechte
Remote:
Ja
Datum:
08.11.2006
scip DB:
OpenSSH stellt eine freie Implementierung des
Secure Shell (SSH) Protokolls zur Verfügung.
Dank
strenger
Authentifikation
und
der
verschlüsselten Kommunikation lassen sich
durch
das
Client/Server-Prinzip
sichere
Verbindungen zwischen Hosts herstellen. In den
Release Notes zur Version 4.5 wird auf ein
Sicherheitsproblem im Separation Monitor
hingewiesen. Unter gewissen Umständen können
Einschränkungen
umgangen
werden.
In
Kombination mit anderen Schwachstellen sei
sodann das Erhalten erweiterter Rechte möglich.
Weitere Details oder ein Exploit sind nicht
bekannt. Der Fehler wurde eben in der Version
4.5 behoben.
Expertenmeinung:
Da nahezu keine Details zur Schwachstelle
bekannt sind, ist die Einschätzung sehr schwierig
und zum jetzigen Zeitpunkt nicht möglich. Sollten
Ihre Systeme verwundbar sein, sollten Sie
schnellstmöglich auf eine aktuelle SoftwareVersion updaten.
3.10 Mozilla Firefox bis 1.5.0.8
Javascript andere Scripte
modifizieren erweiterte Rechte
Remote:
Ja
Datum:
08.11.2006
scip DB:
Das Mozilla-Projekt versucht mit Firefox einen
open-source Webbrowser zur Verfügung zu
stellen. Der Mozilla Webbrowser erlangte seit der
Veröffentlichung der ersten offiziellen Versionen
immer
mehr
Akzeptanz.
Eine
neue
Schwachstelle, die im Mozilla Foundation
Security Advisory 2006-67 dokumentiert wird,
lässt die Manipulation von Javascript-Bytecode
anderer
Scripte
während
der
Programmausführung zu. Dadurch kann ein
Angreifer
erweiterte
Rechte
erlangen.
Technische Details oder ein Exploit sind nicht
bekannt. Dieser und einige andere Fehler wurden
in Mozilla Firefox 1.5.0.8, welcher über das
Autoupdate installiert oder von der Webseite
heruntergeladen werden kann, behoben.
Expertenmeinung:
In der Tat, das Mozilla-Projekt steht absolut in der
Schusslinie, wenn es um neue Schwachstellen
geht. Praktisch keine Woche vergeht, an der
nicht irgendeine Sicherheitslücke in Firefox und
co. Bekannt werden. Das Spiel wiederholt sich:
Umso populärer eine Lösung wird, umso grösser
ist das Interesse der Angreifer, sich mit den
Schwachstellen dieser auseinanderzusetzen.
Tragisch an dieser Geschichte ist jedoch, dass
Mozilla angeblich explizit auf Sicherheit ausgelegt
wurde und nicht die Fehler von Microsofts
Webbrowser wiederholen will. Die Realität zeigt
da jedoch etwas anderes. Mozilla ist halt nur ein
weiteres Projekt, bei dem die Sicherheit
zweitrangig ist - Ein Problem, das stets auf dem
Rücken der Benutzer ausgetragen wird.
6/16
s c i p
a g
© scip AG
3.11 Linux Kernel bis 2.6.x IPv6 IPFragmentierung Filter umgehen
Remote:
Ja
Datum:
07.11.2006
scip DB:
Linux
ist
ein
freies,
UNIX-ähnliches
Betriebssystem, das der General Public License
(GPL) unterliegt. Es wurde 1991 vom Finnen
Linus Torvalds ins Leben gerufen. Heute gilt es
als grösster Konkurrent zum kommerziellen
Windows-Betriebssystem aus dem Hause
Microsoft. Marc Dowd von McAfee hat einen
Designfehler in der IPv6-Implementierung des
aktuellen Kernels gefunden. Unter gewissen
Umständen ist es möglich, dass die Regel
"ip6tables .. -p udp -j DROP" nicht greift und
deshalb
IPv6-Pakete
am
Paketfilter
vorbeigeschmuggelt werden können. Das
rudimentäre Vorgehen ist in der Meldung auf der
Kernel-Mailingliste dokumentiert. Ein Exploit ist
nicht bekannt. Das Problem wurde vorerst im GIT
Repository behoben.
Expertenmeinung:
Das erfolgreiche Ausnutzen dieses Angriffs setzt
die Unterstützung von IPv6 am Zielsystem
voraus. Dies ist relativ selten der Fall. Dennoch
ist der Angriff interessant und in manchen
Umgebungen für Angreifer von enormem Wert.
Das Risiko sollte, ist denn IPv6 im Einsatz, nicht
unterschätzt
werden.
Gegenmassnahmen
anzustreben ist dringendst anzuraten.
3.12 Microsoft Windows 2000 und XP
GDI Kernel Strukturen erweiterte
Rechte
Remote:
Indirekt
Datum:
06.11.2006
scip DB:
Von Microsoft Windows werden KDI Kernel
Datenstrukturen in das Global Shared Memory
abgelegt, sofern eine Applikation mit GDI arbeitet
(z.B. jede Anwendung mit einer grafischen
Oberfläche). Diese Daten sind als Read-Only
gespeichert, können jedoch von jedem anderen
Prozess neu gemappt und mit zusätzlichen
Rechten (Schreiben und Ausführen) versehen
werden. Dadurch wird eine Manipulation möglich,
die sich für eine lokale Denial of Service-Attacke
oder gar das Ausführen von beliebigem
Programmcode nutzen lässt. Technische Details
sowie ein ein in C++ geschriebener Proof-ofConcept Exploit sind im Advisory MOKB-06-112006 enthalten. Als umfassende Lösung ist zur
Zeit nicht bekannt. Das Problem betrifft Microsoft
Windows Server 2003 und Vista nicht.
Expertenmeinung:
Die Sicherheitslücke erinnert an vergangene
Tage, an denen auf Microsoft Windows NT 4.0
getadmin und sechole die grossen Renner
waren. Es bleibt nun abzuwarten, ob und
inwiefern Microsoft reagieren wird. Das Risiko ist,
vor allem in professionellen Umgebungen, wo
Mitarbeiter
oftmals
nur
sehr
wenige
Benutzerrechte zugeteilt bekommen, sehr hoch.
Server 2003 XML Core Services
XMLHTTP 4.0 ActiveX Control
erweiterte Rechte
Remote:
Ja
Datum:
04.11.2006
scip DB:
Microsoft Windows 2000 ist ein professionelles
Betriebssystem, das jedoch nach und nach durch
den Nachfolger Microsoft Windows XP bzw.
Server 2003 abgelöst wird. Microsoft entdeckte
im Internet einen 0-Day Exploit, der eine
Schwachstelle im XMLHTTP 4.0 ActiveX Control
der XML Core Services ausnutzt, um erweiterte
Rechte zu erlangen. Dieses ist Teil moderner
Windows-Systeme. Durch den Besuch einer
Webseite
lässt
sich
damit
beliebiger
Programmcode ausführen. Technische Details
sind nicht bekannt. Microsoft hat eine Reihe von
Workarounds zum Problem publiziert. Diese sind
im Advisory nachzulesen.
Expertenmeinung:
Dieses Problem könnte durchaus zu einem
Renner bei Angreifern werden, wenn ein
handlicher Exploit publiziert wird. Das Ausbleiben
eines absoluten Horror-Szenarios ist deshalb
gegeben, da "nur" Windows 2000 sowie
Windows XP samt Server 2003 betroffen sind,
detaillierte technische Hintergrundinformationen
und Exploits bisher fehlen. Dies soll aber nicht
über die Gefahr hinwegtäuschen, die in derlei
Umgebungen zu finden ist.
3.14 PHP bis 5.1.x HTML-Funktionen
7/16
s c i p
a g
© scip AG
Pufferüberlauf
Remote:
Ja
Datum:
02.11.2006
scip DB:
PHP ist ein frei verfügbares open-source
Skripting-Paket, das für sämtliche populären
Betriebssysteme zur Verfügung steht und
vorwiegend im Web-Bereich seine Anwendung
findet. Stefan Esser fand eine sehr kritische
Schwachstelle in den beiden Funktionen
htmlentities() und htmlspecialchars(), die für die
Verarbeitung von HTML-Eingaben genutzt
werden.
Expertenmeinung:
Problematisch an dieser Schwachstelle ist die
relativ hohe Verbreitung - vor allem im WebBereich. Angreifer könnten entsprechend den
Umstand nutzen, um das System zu
kompromittieren.
Das
Umsetzen
von
Gegenmassnahmen ist deshalb in betroffenen
Umgebungen von erhöhter Wichtigkeit. Vor allem
die vermeintliche Einfachheit der Ausnutzung der
Schwachstelle wird dazu führen, dass der eine
oder andere die neue Schwäche zu seinem
Vorteil nutzen werden will.
3.15 SAP Web Application Server bis
7.00 unbekannter Fehler erweiterte
Leserechte
Remote:
Ja
Datum:
02.11.2006
scip DB:
SAP wurde 1972 von fünf ehemaligen
Mitarbeitern der IBM gegründet. Mit NetWeaver
soll der zunehmenden Komplexität der SAPProdukte
Rechnung
getragen
werden.
Gegenwärtig bietet die SAP mit dem Produkt
SAP NetWeaver, eine Plattform an, mit deren
Hilfe unterschiedliche Business-Anwendungen
integriert
werden
können.
[http://de.wikipedia.org/wiki/SAP_AG]
Nicob
entdeckte zwei Fehler im SAP Web Application
Server bis 7.00. Einer davon erlaubt es, dass
jede beliebige Datei auf dem Zielsystem mit den
Rechten des Webservers gelesen werden kann.
Weitere Details oder ein Exploit sind nicht
bekannt. Das Problem wurde in der Version 6.40
mit dem Patch 136 und in der Version 7.00 mit
dem Patch 66 behoben.
Expertenmeinung:
Diese
Möglichkeit
wird
mit
grösster
Wahrscheinlichkeit in zukünftige Webserver- und
CGI-Scanning-Tools miteinfliessen - Dies ist nur
noch eine Frage der Zeit, sofern sich der Angriff
halbwegs
gescheit
automatisieren
lässt.
Gegenmassnahmen auf exponierten Systemen
umzusetzen ist deshalb dringendst empfohlen.
3.16 Cisco Security Agent bis 5.1.0.79
LDAP Nullpasswort fehlerhafte
Authentisierung
Remote:
Ja
Datum:
02.11.2006
scip DB:
Die ursprünglich von der amerikanischen Firma
Okena entwickelte Software StormWatch ist eine
echte Intrusion Prevention-Lösung. Durch
Systemcall-Interception
werden
unerlaubte
Kernel-Zugriffe abgefangen und unterbunden, so
dass schwerwiegende Programmierfehler wie
Pufferüberlauf-Schwachstellen
nicht
durch
Angreifer
ausgenutzt
werden
können
[http://www.computec.ch/dokumente/intrusion_pr
evention/]. Vor einiger Zeit wurde diese Technik
durch den Branchenriesen Cisco aufgekauft und
neu unter dem Namen Cisco Security Agent
(CSA) vertrieben. Wie nun im Advisory cisco-sa20061101-csamc publiziert wurde, existiert eine
Schwachstelle im Zusammenhang mit LDAP.
Wird darüber eine Authentisierung eingesetzt,
kann
man
sich
mit
einem
gültigen
Benutzernamen und einem leeren Passwort (mit
einer Länge von 0) erfolgreich am System
anmelden. Der Fehler wurde durch den Hotfix
5.1.0.79 behoben. Als Workaround wird vom
Einsatz von LDAP abgeraten.
Expertenmeinung:
Okena StormWatch bzw. Cisco Security Agent
ist im Verbund mit einer Antiviren-, Firewallingund Intrusion Detection-Lösung am stärksten. Die
einzelnen
Elemente
können
in
einem
Gesamtkonzept die Schwächen der anderen
ausbessern und so für ein Maximum an
möglicher Sicherheit in einer Umgebung sorgen.
Ironisch ist in diesem Fall, dass eben einer dieser
Sicherheitslösungen einen Fehler aufweist - und
dies nicht zum ersten Mal -, der die gesamte
Sicherheit der Umgebung kompromittieren kann.
3.17 phpMyAdmin bis 2.9.0.3 UTF-7
Codierung Cross Site Scripting
Remote:
Ja
Datum:
01.11.2006
8/16
s c i p
a g
© scip AG
scip DB:
phpMyAdmin ist eine beliebte Web-Oberfläche
für die SQL-Administration. Stefan Esser
entdeckte eine Schwachstelle, die vom
phpMyAdmin Team durch das Announcement
PMASA-2006-6 publik gemacht wurde. Durch
spezielle mit UTF-7 codierte Zeichenketten
liessen sich Cross Site Scripting-Attacken
umsetzen. Technische Details oder ein Exploit
sind nicht bekannt. Der Fehler wurde in der
Version 2.9.0.3 behoben.
Expertenmeinung:
Diese
Möglichkeit
wird
mit
grösster
Wahrscheinlichkeit in zukünftige Webserver- und
CGI-Scanning-Tools miteinfliessen - Dies ist nur
noch eine Frage der Zeit, sofern sich der Angriff
halbwegs
gescheit
automatisieren
lässt.
Gegenmassnahmen auf exponierten Systemen
umzusetzen ist deshalb dringendst empfohlen.
3.18 Microsoft Windows XP Windows
NAT Helper Components
ipnathlp.dll DNS-Abfrage Denial of
Service
Remote:
Ja
Datum:
30.10.2006
scip DB:
Microsoft
Windows
XP
stellt
eine
Weiterentwicklung des professionellen Windows
2000 dar. Mitunter kann ein XP-System als
einfacher Router betrieben werden, über den
verschiedene Hosts eine Internetverbindung
nutzen können. h07 hat einen in C
geschriebenen Exploit publiziert, der auf diese
Internetfreigabe eine Denial of Service-Attacke
umsetzen kann. Der Fehler sitzt ind er Bibliothek
ipnathlp.dll, die mit einer falschen DNS-Anfrage
aus dem Tritt gebracht werden kann. Als
Workaround wird eine zusätzliche Absicherung
des Systems mittels Firewalling oder gar der
Einsatz einer alternativen Lösung empfohlen.
Expertenmeinung:
Diese Schwachstelle ist in erster Linie ärgerlich,
denn durch den Denial of Service-Zugriff lässt
sich der Betrieb ziemlich einfach stören.
Administratoren sollten deshalb auf der Hut sein.
Nicht funktionierende XP-Router deuten auf
einen Angriff hin.
3.19 Microsoft Internet Explorer 7 target
erweiterte Rechte
Remote:
Ja
Datum:
30.10.2006
scip DB:
Der Microsoft Internet Explorer (MS IEX) ist der
am meisten verbreitete Webbrowser und fester
Bestandteil moderner Windows-Betriebssysteme.
Per Gravgaard hat einen Fehler in der
kommenden Version 7 verifiziert, der am 10.
Dezember 2004 veröffentlicht wurde und schon
die vorangehenden Versionen des Internet
Explorers betroffen hat. Ist einem Angreifer der
Name von Frames bzw. anderen Fenstern
bekannt, kann er die Inhalte dieser übergreifend
auslesen oder manipulieren. Das Mitlesen
sensitiver Informationen, zum Eingaben bei einer
Authentisierung, werden so möglich. Ein Exploit
ist schon lange bekannt. Als Workaround wird
lapidar empfohlen, lediglich vertrauenswürdige
Seiten aufzusuchen. Besser sollte man jedoch
auf ein alternatives Produkt ausweichen.
Expertenmeinung:
Machte man früher Witze über Sendmail, weil
praktisch jede Woche eine neue Sicherheitslücke
bekannt wurde, mauserte sich der Internet
Explorer langsam zum "buggiest program on
planet earth". Mit der neuen Version 7 sollte sich
dies ändern. Denn diese soll angeblich auch mit
dem Fokus auf die Sicherheit entwickelt worden
sein. Die letzten Tage wurden jedoch einige neue
und altbekannte Fehler bekannt, die an der
Versprechung von Microsoft zweifeln lassen. Ob
es sich dabei um die letzten Kinderkrankheiten
oder eine neue Serie schwerwiegender Fehler
handelt, wird erst die Zukunft zeigen können.
3.20 Novell eDirectory bis 8.8.1
evtFilteredMonitorEventsRequest()
Integer-Overflow
Remote:
Ja
Datum:
23.10.2006
scip DB:
Novell eDirectory ist eine bekannte kommerzielle
Lösung für Identity Management in grossen
Umgebungen. Gleich mehrere Schwachstellen
wurden zeitgleich in den aktuellen Versionen
bekannt. Drei davon wurden als iDEFENSEAdvisory publiziert. Eines davon spricht von
einem Integer-Overflow, der im Zusammenhang
mit
der
Funktion
9/16
s c i p
a g
© scip AG
evtFilteredMonitorEventsRequest()
ausgenutzt
werden kann. Damit lässt sich beliebiger
Programmcode ausführen. Weitere Details oder
ein Exploit sind nicht bekannt. Dieser und die
anderen über iDEFENSE publik gemachten
Schwachstellen wurden im aktuellen FTF1
behoben. Als Workaround wird empfohlen den
LDAP-Dienst in /etc/opt/novell/eDirectory/conf zu
deaktivieren.
Expertenmeinung:
Es wurden zeitgleich vier Schwachstellen zu
Novell eDirectory publiziert. Da diese teilweise
Angreifern Tür und Tor öffnen, sollte man
umgehend
die
freigegebenen
Patches
installieren. Es ist damit zu rechnen, dass die
neuen Schwachstellen aufgrund der hohen
Verbreitung
von
Novell
eDirectory
in
professionellen
Umgebungen
grössere
Beliebtheit erfahren werden.
3.21 RIM BlackBerry Enterprise Server
for Domino bis 4.1.2 Hotfix 1
Meetings Denial of Service
Remote:
Ja
Datum:
20.10.2006
scip DB:
Overflow
Remote:
Ja
Datum:
20.10.2006
scip DB:
Asterisk ist eine open-source Software, die alle
Funktionalitäten
einer
herkömmlichen
Telefonanlage bietet. Adam Boileau hat einen
Heap-Overflow im Asterisk Skinny Channel
Driver gefunden. Dieser betrifft die Funktion
get_input(), über die bei aktiviertem chan_skinny
beliebiger Programmcode ausgeführt werden
kann. Der betroffene Teil im Quelltext wird kurz
im Original-Advisory, das auf Full-Disclosure
publiziert wurde, diskutiert. Ein Exploit zur
Schwachstelle ist nicht bekannt. Der Fehler
wurde in Asterisk 1.0.12 sowie 1.2.13 behoben.
Expertenmeinung:
Dieses Problem ist ziemlich schwerwiegend,
denn die Schwachstelle ist relativ einfach remote
auszunutzen. Aus diesem Grund sollte man
umgehend die aktuellste Version einspielen und
die Sicherheitseinstellungen anpassen.
BlackBerry ist eine kommerzielle Mobile-Lösung
aus dem Hause Research In Motion Limited
(RIM).
Durch
entsprechende
BlackBerryHandhelds kann stets ein Abgleich mit dem
Enterprise Server umgesetzt werden, um stets
bezüglich Emails und Terminen auf dem
neuesten Stand zu sein. Zusätzlich werden auch
Dienste für SMS, Webbrowser und Telefonie
angeboten. In den Release Notes zum Hotfix 1
für die Version 4.1.2 hält RIM fest, dass eine
Denial
of
Service-Schwachstelle
im
Zusammenhang mit Lotus Domino besteht. Bei
der Verarbeitung von Meetings könne ein Absturz
realisiert werden. Weitere Details oder ein Exploit
sind nicht bekannt. Der Fehler wurde mit dem
besagten Hotfix besd412hf1.msp behoben.
Expertenmeinung:
Das BlackBerry-System ist auf dem Vormarsch
und erste grossflächige Evaluierungen bzw.
Integrationen haben begonnen. Schwachstellen
wie diese fördern natürlich nicht den Verkauf der
RIM-Lösung. Jedoch ist ein schnelles Ausmerzen
von Schwachstellen ein gutes Zeichen und deutet
auf Kompetenz des Herstellers hin.
3.22 Digium Asterisk bis 1.2.13
chan_skinny get_input() Heap-
10/16
s c i p
a g
© scip AG
4.
Statistiken Verletzbarkeiten
900
Die im Anschluss aufgeführten Statistiken basieren auf den Daten der
deutschsprachige
Verletzbarkeitsdatenbank der scip AG.
800
700
600
http://www.scip.ch/cgi-bin/smss/showadvf.pl
500
Zögern Sie nicht uns zu kontaktieren. Falls Sie
spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns
eine E-Mail an mailto:[email protected]. Gerne nehmen wir Ihre Vorschläge entgegen.
400
300
200
Auswertungsdatum:
19. November 2006
100
0
2003
2004
2005
sehr kritisch
56
15
15
6
kritisch
214
314
402
393
170
287
423
347
problematisch
2006
Verlauf der Anzahl Schwachstellen pro Jahr
30
90
80
25
70
20
60
50
15
40
10
30
5
20
10
0
0
2006 - Sep
sehr kritisch
1
kritisch
52
problematisch
24
2006 - Okt
2006 - Nov
1
27
38
22
25
2006 - Sep
2006 - Okt
Cross Site Scripting (XSS)
6
3
2006 - Nov
1
Denial of Service (DoS)
20
24
12
Designfehler
7
12
14
Eingabeungültigkeit
2
1
Fehlende Authentifizierung
1
1
Directory Traversal
1
Fehlende Verschlüsselung
Fehlerhafte Leserechte
Verlauf der letzten drei Monate Schwachstelle/Schweregrad
Fehlerhafte Schreibrechte
1
Format String
1
1
3
Pufferüberlauf
27
12
11
Race-Condition
1
1
1
Schw ache Authentifizierung
4
Konfigurationsfehler
3
Schw ache Verschlüsselung
1
SQL-Injection
Symlink-Schw achstelle
Umgehungs-Angriff
3
Unbekannt
4
6
5
Verlauf der letzten drei Monate Schwachstelle/Kategorie
11/16
s c i p
a g
© scip AG
Registrierte Schwachstellen by scip AG
100
85
80
80
79
77
77
70
65
62
60
52
51
48
40
2006 - Dez
2006 - Nov
2006 - Sep
2006 - Aug
2006 - Jul
2006 - Jun
2006 - Mai
2006 - Apr
2006 - Mrz
2006 - Feb
2006 - Jan
0
2006 - Okt
20
Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode 2006
90
80
70
60
50
40
30
20
10
0
2006 - Jan 2006 - Feb 2006 - Mrz 2006 - Apr 2006 - Mai 2006 - Jun 2006 - Jul 2006 - Aug 2006 - Sep 2006 - Okt 2006 - Nov 2006 - Dez
sehr kritisch
1
kritisch
30
38
27
37
1
problematisch
48
13
25
32
1
1
33
44
1
41
42
52
27
22
1
44
35
21
42
24
38
25
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 200
12/16
s c i p
a g
© scip AG
30
25
20
15
10
5
0
2006 - Jan 2006 - Feb 2006 - Mrz 2006 - Apr 2006 - Mai 2006 - Jun 2006 - Jul 2006 - Aug 2006 - Sep 2006 - Okt 2006 - Nov 2006 - Dez
3
4
3
6
3
8
6
4
6
3
1
25
10
10
9
12
14
13
16
20
24
12
Designfehler
15
12
12
27
23
13
14
19
7
12
14
1
1
3
4
1
2
1
1
1
Directory Traversal
1
1
1
2
1
1
3
1
2
2
6
1
2
1
2
4
2
1
3
1
1
1
18
17
13
17
20
1
1
1
1
1
1
1
Format String
3
3
1
1
1
1
1
1
3
17
19
27
12
11
2
2
1
1
1
3
4
Pufferüberlauf
1
Race-Condition
1
1
1
1
SQL-Injection
1
Umgehungs-Angriff
2
1
Unbekannt
5
2
1
1
3
1
1
1
4
20
1
1
1
1
1
5
1
1
3
5
7
4
10
4
6
5
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2006
13/16
s c i p
a g
© scip AG
Registrierte Schwachstellen by scip AG
120
111
100
103
100
94
86
85
83
80
79
76
70
69
60
60
57
42
41
55
39
35
42
51 52
32
28
27
24
20
48
40
39
38
34
65
62
49
46
77
70
62
55
47
40
70
59
52
77
80
18
12
2006 - Nov
2006 - Sep
2006 - Jul
2006 - Mai
2006 - Mrz
2006 - Jan
2005 - Nov
2005 - Sep
2005 - Jul
2005 - Mai
2005 - Mrz
2005 - Jan
2004 - Nov
2004 - Sep
2004 - Jul
2004 - Mai
2004 - Mrz
2004 - Jan
2003 - Nov
2003 - Sep
2003 - Jul
2003 - Mrz
2003 - Jan
2003 - Mai
1
0
Verlauf der Anzahl Schwachstellen pro Monat
120
100
80
60
40
20
0
200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200
3- 3- 3- 3- 3- 3- 3- 3- 3- 3- 3- 3- 4- 4- 4- 4- 4- 4- 4- 4- 4- 4- 4- 4- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 5- 6- 6- 6- 6- 6- 6- 6- 6- 6- 6- 6Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov
sehr kritisch
4
6
4
7
3
14
4
6
2
5
1
4
1
3
2
1
1
1
kritisch
3
6
13
14
24
40
16
27
23
26
22
17
23
19
23
27
28
19
33
15
60
26
24
25
5
6
7
7
12
32
15
14
27
26
18
17
15
18
34
15
25
12
13
23
39
33
43
51
problematisch
1
2
2
2
3
1
2
1
1
1
1
1
33
1
38
58
2
47
20
46
20
26
42
37
10
30
38
27
37
1
33
44
1
41
42
52
27
22
1
49
32
51
56
18
46
26
28
26
24
16
48
13
25
32
44
35
21
42
24
38
25
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat
14/16
s c i p
a g
© scip AG
50
45
40
35
30
25
20
15
10
5
0
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
03 - 03 - 03 - 03 - 03 - 03 - 03 - 03 - 03 - 03 - 03 - 03 - 04 - 04 - 04 - 04 - 04 - 04 - 04 - 04 - 04 - 04 - 04 - 04 - 05 - 05 - 05 - 05 - 05 - 05 - 05 - 05 - 05 - 05 - 05 - 05 - 06 - 06 - 06 - 06 - 06 - 06 - 06 - 06 - 06 - 06 - 06 Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No
5
8
1
2
4
3
2
3
2
5
4
1
2
7
5
24
7
8
12 10
8
4
5
10 12
5
17
4
13 12 16 10
6
4
10
6
6
6
1
2
7
3
10
8
8
10
1
3
1
1
Designfehler
1
1
2
3
3
6
9
Directory Traversal
1
3
1
2
1
1
1
1
2
2
1
4
1
1
1
3
1
2
3
4
1
1
1
4
4
1
2
1
6
2
4
2
3
1
2
4
1
2
2
4
4
2
2
3
2
1
2
1
2
2
4
1
5
5
1
1
Pufferüberlauf
3
7
9
7
8
28 11 16 20 14
8
13
6 15
1
1
SQL-Injection
1
1
1
1
1
1
1
5
1
Unbekannt
1
1
1
4
3
1
3
2
10
4
5
5
1
3
3
6
3
6
12 19 30
6
25
4
12 15 24
4
25 10 10
9
12 14 13 16 20 24 12
19 20 20 29 44 16 30 36 14 15 18 12 13 12
7
15 12 12 27 23 13 14 19
1
8
2
11
3
2
1
1
5
1
3
1
2
3
2
3
1
2
4
2
7
3
1
7
3
3
1
2
2
1
1
1
1
2
7
8
1
2
1
3
6
2
1
1
1
1
5
1
1
2
11
3
1
8
3
1
2
1
1
2
6
2
1
1
1
3
1
2
3
2
1
2
1
2
1
1
3
2
2
3
1
2
1
1
1
8
4
1
6
3
3
1
2
1
2
1
2
1
1
13 29 14 22 19 14 20 26 22
4
2
4
6
4
6
3
1
7
12 14
2
1
1
1
1
1
1
1
1
3
1
1
2
2
6
1
2
1
2
1
4
3
1
2
2
3
1
1
4
2
1
1
1
1
6
1
1
1
1
4
1
2
2
3
2
20
1
1
2
2
2
2
3
4
1
1
1
1
1
1
2
Umgehungs-Angriff
7
1
9 15
1
1
1
2
2
2
5
1
1
2
2
1
8
3
3
2
Race-Condition
2
1
3
Format String
2
1
1
9
1
1
6
2
1
1
1
1
2
8
7
2
2
1
8
18 17 13 17 20 20 17 19 27 12 11
1
1
1
2
2
5
1
14 15 16 19 12
1
1
2
1
1
1
1
1
1
1
1
2
2
6
2
4
1
1
6
1
1
1
1
1
1
1
1
1
1
1
1
1
5
2
4
1
2
1
3
4
1
1
3
1
1
1
2
2
1
1
1
1
1
1
5
1
1
3
5
7
4 10
4
6
5
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat
15/16
s c i p
a g
© scip AG
5.
Literaturverzeichnis
scip AG, 19. Februar 2006, scip monthly Security
Summary, smSS Feedback
http://www.scip.ch/publikationen/smss/scip_mss-19_02_2006-1.pdf
scip AG, 19. März 2006, scip monthly Security
Summary, smSS Feedback Auswertung
http://www.scip.ch/publikationen/smss/scip_mss-19_03_2006-1.pdf
Ruef, Marc, 22. Dezember 2001, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, http://www.computec.ch/download.php?view.110
Ruef, Marc, 2002, Intrusion Prevention – Neue
Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-2002, Seiten 10-14,
http://www.computec.ch/download.php?view.302
Ruef, Marc, Februar 2004, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies eLearning und Wissensmanagement, http://www.computec.ch/download.php?view.481
6.
Impressum
Herausgeber:
scip AG
Technoparkstrasse 1
CH-8005 Zürich
T +41 44 445 1818
mailto:[email protected]
http://www.scip.ch
Zuständige Person:
Marc Ruef
Security Consultant
T +41 44 445 1812
mailto:[email protected]
scip AG ist eine unabhängige Aktiengesellschaft
mit Sitz in Zürich. Seit der Gründung im September 2002 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der
implementierten Sicherheitsmassnahmen mittels
Penetration Tests und Security Audits und der
Sicherstellung zur Nachvollziehbarkeit möglicher
Eingriffsversuche
und
Attacken
(LogManagement und Forensische Analysen). Vor
dem Zusammenschluss unseres spezialisierten
Teams waren die meisten Mitarbeiter mit der
Implementierung von Sicherheitsinfrastrukturen
beschäftigen. So verfügen wir über eine Reihe
von Zertifizierungen (Solaris, Linux, Checkpoint,
ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen
unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich
in selbst geschriebenen Routinen zur Ausnutzung
gefundener Schwachstellen, dem Coding einer
offenen Exploiting- und Scanning Software als
auch der Programmierung eines eigenen LogManagement Frameworks. Den kleinsten Teil
des Wissens über Penetration Test und LogManagement lernt man jedoch an Schulen – nur
jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren.
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an [email protected]. Das Errata (Verbesserungen,
Berichtigungen, Änderungen) der scip monthly
Security Summarys finden Sie online. Der Bezug
des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden!
16/16

scip ag

Transcrição

Documentos relacionados

scip ag

AutoSketch 9

2014: Jahr des Aufbruchs

scip ag

scip ag

scip ag

scip ag

scip ag

Systemvoraussetzungen für AutoCAD MEP 2015

Facebooks dunkle Seite

scip ag

PC Consumer EMEA Desktop features

Neuheiten der vorliegenden Version 2005.5: Softwarekomponenten

HP Scanjet 5590 Digitaler Flachbettscanner (L1910A

IXI-UMS und der Dienst Fax

Hewlett-Packard HP Color LaserJet 3600n - Drucker - Farb

Passwort vergessen – das können Sie tun

Security Space