 |
Quelle: diverse News Seiten
Datum: Juli / August 2010
Betroffene Plattform: alle unterstützten Windows-Systeme
Referenz: u.a. http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0pleBE8BWGbqLmw%253d%253d
Viel Aufsehen hat ein Trojaner erregt, der Mitte Juli entdeckt wurde. Er nutzte eine bis dahin nicht öffentlich bekannte Schwachstelle in der Verarbeitung von .lnk bzw. .pif Dateien aus. Der Trojaner wurde über USB-Sticks verbreitet, die Lücke lässt sich aber auch über Netzwerk ausnutzen. Grund ist eine unzureichende Prüfung von Parametern bei der Verarbeitung von .lnk und .pif Dateien, die automatsch durchgeführt wird, wenn diese Dateien im Explorer angezeigt werden (verantwortlich für die Darstellung von Programm-Icons).
Das Besondere an dem gefundenen Trojaner ist das hohe Maß an technischem Know-how, das verwendet wurde. So nutzt der Trojaner gültig signierte Programmteile, um eigene Rootkit-Funktionen im System zu platzieren. Außerdem konnte ermittelt werden, dass offensichtlich SCADA Syteme (Supervisory Control and Data Acquisition) im Fokus des Angreifers standen, da im untersuchten Trojaner Hinweise auf das im SCADA-Umfeld verwendete WinCC von Siemens entdeckt wurden. Weitere Informationen dazu finden sich auch in dem Artikel „Wurmangriff und Hintertüren: Aktuelle Sicherheitsbedrohungen in der Prozessleittechnik“.
Microsoft hat innerhalb kürzester Zeit einen Notfallpatch entwickelt, der unter der Bezeichnung MS10-046 zur Verfügung gestellt wird (http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx). Da die Schwachstelle inzwischen schon von einer ganzen Reihe von Trojanern verwendet wird, sollte der Patch unverzüglich eingespielt werden.
Microsoft stellt auch ein Fixit-Tool (http://support.microsoft.com/kb/2286198#FixItForMe ) bereit, mit dem sich die automatische Verarbeitung der Dateitypen deaktivieren lässt. Dies ist aber kein hundertprozentiger Schutz vor der Schwachstelle und sollte nur solange als Workaround verwendet werden, bis der Patch sicher eingespielt werden kann. Außerdem wird nach der Ausführung des Fixit-Tools auch die Anzeige aller Programm-Icons unübersichtlich, da dann nur noch ein Standard-Icon für alle Anwendungen und Dateitypen angezeigt wird.
Probleme dürften einige Anwender von SCADA-Systemen haben, die ältere Versionen von Windows (älter als Windows XP SP3) verwenden. Für diese Systeme gibt es von Microsoft keinen Support mehr und dementsprechend auch keinen Patch. Hier kann bestenfalls der Workaround mit dem Fixit-Tool durchgeführt werden, der die Schwachstelle aber nicht zuverlässig verhindern kann.
Quelle: diverse News Seiten und Mailing Listen
Datum: Juni 2010
Betroffene Plattform: Bibliotheken libtiff und libpng
Referenz: u.a. http://www.vupen.com/english/advisories/2010/1612),
http://secunia.com/advisories/40241/
In den Graphikbibliotheken libpng und libtiff wurden mehrere Schwachstellen ermittelt, über die ein Angreifer beliebigen Code in ein System schleusen und ausführen könnte oder zumindest die aufrufende Applikation zum Absturz bringen kann. Dazu müsste er nur manipulierte Bilder durch eine betroffene Anwendung öffnen lassen. Eine Vielzahl von Anwendungen greift auf die beiden Bibliotheken zurück und ist deshalb betroffen. Unter anderem verwenden die meisten Browser die Bibliotheken um Bilder der Typen .PNG und .TIFF darzustellen.
Für die libpng stehen die Updates 1.2.44 und 1.4.3 unter (http://sourceforge.net/projects/libpng/files/) und für die libtiff das Update auf Version v3.9.3 unter (http://www.remotesensing.org/libtiff/v3.9.4.html) bereit. Mit diesen Updates sollten die genannten Fehler behoben sein und alle Programme, die auf die Bibliotheken verweisen .PNG und .TIFF Bilder wieder sicher anzeigen können.
Quelle: Metasploit Blog
Datum: 2. August 2010
Betroffene Plattform: alle Geräte mit VxWoks-Betriebs-system in Default-Einstellung
Referenz: http://blog.metasploit.com/2010/08/vxworks-vulnerabilities.html
VxWorks ist ein weit verbreitetes Betriebssystem für embedded
Systeme. Es findet Verwendung unter anderem in einer Vielzahl von Routern, Telefonen, Navigationsgeräten oder sogar im Mars-Rover der NASA. Das von Wind River Systems entwickelte Betriebssystem wird von vielen Herstellern eingekauft und in Teilen und/oder mit zusätzlichen Modulen für die eigenen Geräte verwendet. Um eine Weiterentwicklung zu erleichtern hat VxWorks eine Debugging Möglichkeit eingebaut. Damit ist der Gerätespeicher ohne vorherige Authentisierung über das Netzwerk auszulesen oder sogar zu verändern.
Ob die eigene Hardware durch diese Schwachstelle verwundbar ist, kann man leicht prüfen, indem man nach dem offenen Port 17185 sucht. Auf diesem läuft der Debugger. Geräte, die diesen Port nicht offen haben, sollten das Debugging deaktiviert haben und nicht anfällig für die Schwachstelle sein. Die Schwachstelle wurde von HD Moore (Entwickler des Penetration Toolkit Metasploit) entdeckt. Die Schwachstelle wurde im Rahmen seines Vortrags auf der Sicherheitskonferenz „Defcon“ in Las Vegas vorgestellt. Gleichzeitig wurden neue Module für Metasploit bereitgestellt, die nach verwundbaren Geräten suchen können und deren Firnware-Informationen ausgeben, den Speicherinhalt anzeigen oder einen Reboot des Gerätes durchführen. Ein weiterer Fehler in VxWorks ist in dem vorhandenen FTP-Modul enthalten. Die Implementierung ist so gestaltet, dass ein Angreifer nur 8.000 Passwörter ausprobieren muss, um Zugang zum System zu erhalten. Ein Bruteforce-Schutz ist nicht implementiert. Ein Angreifer muss demzufolge nur einen gültigen Nutzernamen ermitteln und 8.000 verschiedene Passwörter für diesen Nutzer ausprobieren.
Für Hacker wird sich auf absehbare Zeit eine interessante Spielwiese ergeben, da ein großer Teil der Komponenten mit VxWorks in Bereichen verwendet wird, die aus betrieblichen Gründen selten oder zum Teil auch gar nicht gepatcht werden können.
Die Hersteller, die VxWorks einsetzen, wurden inzwischen informiert und sollten in Kürze Updates für ihre Firmware bereitstellen. Diese Updates sollten so schnell wie möglich eingespielt werden, da zu befürchten ist, dass viele Hacker die Schwachstellen in absehbarer Zukunft ausnutzen werden, um die Geräte zu kompromittieren.
Quelle: diverse News Seiten
Datum: 11. August 2010
Betroffene Plattform: Adobe Flash Player, Flash Media Server und ColdFusion
Referenz: u.a. (http://www.vupen.com/english/advisories/2010/2064)
Adobe hat für die Produkte Flash Player, Flash Media Server und ColdFusion Updates bereitgestellt, mit denen mehrere Schwachstellen geschlossen werden sollen, die zum Teil dazu ausgenutzt werden können, beliebigen Code in ein System zu schleusen und auszuführen.
Im Player ist eine Schwachstelle enthalten, die ihn gegen Clickjacking-Angriffe verwundbar macht, und mehre Schwachstellen, die zu einem Speicherüberlauf führen können, über den dann eingeschleuster Code zur Ausführung gebracht wird. Betroffen sind die Versionen bis einschließlich 10.1.53.64 bzw. kleiner als 9.0.280. Der Flash Media Server enthält ebenfalls mehrere Schwachstellen zum Einschleusen von Code. Betroffen sind die Versionen bis einschließlich 3.0.5 und 3.5.3 für Windows und Unix. Für ColdFusion in den Versionen bis einschließlich 8.0, 8.0.1, 9.0 und 9.0.1 ist eine „Directory Traversal“-Schwachstelle bekannt geworden, über die ein Angreifer unter Umständen an sensitive Informationen gelangen könnte.
Für den FlashPlayer stehen die Versionen 10.1.82.76 bzw. 9.0.28 bereit, die die genannten Schwachstellen beheben. Der FlashPlayer kann in der aktuellen Version unter (http://get.adobe.com/de/flashplayer/) bezogen werden. Die Versionen 3.0.6 und 3.5.4 des Flash Media Servers, die die oben beschriebenen Schwachstellen beheben sollen, können unter (http://www.adobe.com/support/flashmediaserver/downloads_updaters.html) bezogen werden. Um die Schwachstelle in ColdFusion zu beheben, wird von Adobe ein Hotfix unter (http://kb2.adobe.com/cps/857/cpsid_85766.html) angeboten. Die verfügbaren Updates sollten möglichst schnell installiert werden, da sie bereits von Angreifern ausgenutzt werden.
Quelle: Diverse News-Seite
Datum: Juni 2010
Betroffene Plattform: Adobe Reader, Foxit Reader
Referenz: u.a. (http://www.vupen.com/english/advisories/2010/1636)
Der Foxit Reader enthält eine Schwachstelle, die eigentlich in Apples iPhone, iPod und iPad gefunden wurde. Dort wurde die Schwachstelle ermittelt, bei der mittels präparierter PDF-Dokumente ein sogenanntes Jailbreak der Geräte möglich ist. Das bedeutet, dass der Anwender dadurch in der Lage ist, eigene Software auf dem Gerät zu installieren. Grund ist eine unzureichende Prüfung bei Compact Font Format (CFF) Daten in der Bibliothek FreeType2. Da die Bibliothek auch vom Foxit Reader verwendet wird, greift die Jailbreak Schwachstelle auch hier. Ein Angreifer könnte dies ausnutzen, um über ein manipuliertes PDF-Dokument Code in das System einzuschleusen und auszuführen.
In Adobes Reader waren gleich mehrere Schwachstellen enthalten, die sich dazu ausnutzen lassen, beliebigen Code in ein System zu schleusen und auszuführen. Unter Anderem auf Grund der hohen Anzahl von 17 dieser Schwachstellen hat sich Adobe dazu entschlossen den eigentlich quartalsweise stattfindenden Patchday um einige Wochen vorzuziehen. Zu den behobenen Fehlern gehört ein Bug in der Bibliothek authplay.dll, der bei eingebetteten Flash-Inhalten auftritt und ein Fehler beim Ausführen eingebetteten Codes. Dabei wird das Ausführen eingebetteten Codes nicht komplett untersagt, sondern nur per Blacklist-Filter eingeschränkt. Der Filter ist aber leicht zu umgehen.
Der Foxit Reader wird unter (http://www.vupen.com/english/advisories/2010/1636) in der Version 4.1.1.0805 angeboten, die den Fehler beheben soll. Adobe stellt Updates auf seinen aktuellen Reader in den Versionen 9.3.3 bzw 8.2.3 unter (http://www.adobe.com/support/security/bulletins/apsb10-15.html )zur Verfügung. Wer auf das Ausführen eingebetteten Codes verzichten kann, sollte die Funktion abschalten, indem er die Funktion „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden“ unter Bearbeiten -> Voreinstellungen -> Berechtigungen deaktiviert. Denn auch durch das Update auf die aktuelle Version wird das Ausführen nicht wirklich verhindert, sondern nur eingeschränkt. Zumindest wird der Nutzer durch das Update immer per Pop-Up vor der Ausführung gewarnt.
Quelle: Secunia Security Advisory
Datum: 28. Juli 2010
Betroffene Plattform: Autonomy KeyView 7.x – 10.x
Referenz: http://secunia.com/advisories/38690/
Der Sicherheitsdienstleister Secunia hat nach eigenen Angaben mehrere Schwachstellen in der Softwarebibliothek KeyView entdeckt. Die Schwachstellen können dazu führen, dass Programme, die diese Bibliothek verwenden, abstürzen oder sogar beliebigen Code ausführen. Die Bibliothek des Herstellers Autonomy wird in mehreren weit verbreiteten Produkten eingesetzt. Bekannte Hersteller, die auf KeyView setzten, sind zum Beispiel IBM mit den Produkten Lotus Notes und Symantec mit Produkten wie Brightmail Gateway und IM Manager 2007. Grund für die Schwachstelle sind Speicher- und Integer Überläufe, die bei der Verarbeitung von manipulierten Dokumenten auftreten können.
Autonomy hat für die Versionen 10.10, 10.9, 10.8, 10.5, 10.4, 10.3, 9.2 und 7.4 Patches bereitgestellt, die von den Herstellern in die Produkte einfließen sollten.
Quelle: Microsoft Security Advisory
Datum: Juli / August 2010
Betroffene Plattform: Microsoft Windows, Microsoft Office
Referenz: u.a. (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms10-aug.mspx)
In den letzen beiden Monaten hat Microsoft zu den beiden entsprechenden Patchdays neunzehn Softwareflicken veröffentlicht, die 40 verschiedene Schwachstellen adressieren. Zusätzlich wurde noch ein Notfall-Patch für die .lnk/.pif Schwachstelle, außerhalb der normalen Patch-Zyklen veröffentlicht (vergl. Top 1). Zwölf der veröffentlichten Patches wurden von Microsoft als „kritisch“, die anderen sieben als „hoch“ eingestuft. Teilweise werden die behobenen Schwachstellen schon seit einiger Zeit aktiv im Internet ausgenutzt, wie zum Beispiel die Schwachstelle in der WindowsWindows-Hilfe (vergl. Top 3, Security Journal Ausgabe #49). Eine Auflistung der einzelnen Schwachstellen kann man unter (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms10-aug.mspx) bzw. (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms10-aug.mspx) einsehen.
Auf Grund der Schwere der behobenen Schwachstellen sollten die Patches möglichst umgehend eingespielt werden. Ohnehin empfiehlt sich der Einsatz automatischer Patchverteilung (wie zum Beispiel WSUS), um Windows-Betriebssysteme aktuell zu halten.
Quelle: Secuity Advisories und News Seiten
Datum: Juni/Juli 2010
Betroffene Plattform: Apple Safari, Mozilla Firefox, Opera, Microsoft Internet Explorer
Referenz: u.a. (http://www.heise.de/security/meldung/1031782.html)
Auch in dieser Ausgabe sollen die Browser-Schwachstellen nicht fehlen! Vertreten sind dieses Mal die Browser Internet Explorer, Firefox, Safari, Chrome und Opera. Damit sind die wahrscheinlich am meisten verbreiteten Browser alle vertreten. Für alle Browser wurden in den letzen Monaten mehrere Schwachstellen bekannt, die potentielle Angreifer unter anderem dazu ausnutzen könnten, die komplette Rolle über Rechner zu erhalten. Teilweise kann durch Ausnutzung anderer Schwachstellen auch der Browser zum Absturz gebracht werden, Sicherheitseinstellungen umgangen werden oder sensitive Daten der Nutzer ausgespäht werden. Die Schwachstellen lassen sich in der Regel durch das Aufsuchen manipulierter Webseiten auslösen.
Alle aufgeführten Browser bieten die Möglichkeit, Updates über automatische Update-Routinen zu installieren. Wir empfehlen diese Updates möglichst zeitnah einzuspielen. Gegebenenfalls sollte geprüft werden, ob tatsächlich die aktuelle Version des Lieblingsbrowsers verwendet wird.
Quelle: Oracle Security Alert
Datum: 13. Juli 2010
Betroffene Plattform: div. Oracle Datenbanken und Anwendungen (siehe Text)
Referenz: (http://www.oracle.com/technetwork/topics/security/cpujul2010-155308.html)
Und wieder ist ein viertel Jahr vorüber. Oracle hat im Monat Juli wieder seinen regulären Patchday gehabt und Updates für diverse Produkte geschnürt. Betroffen sind die Datenbanken, TimesTen In-Memory Database, Secure Backup, Application Server, Identity Management, WebLogic Server, JRockit, Business Process Management, Enterprise Manager Grid Control, E-Business Suite, Transportation Manager sowie leichtdie Enterprise Produkte von PeopleSoft. Welche Versionen im Detail betroffen sind, entnehmen Sie bitte dem referenzierten Advisory.
Die 59 verschiedenen Schwachstellen, die mit dem Update behoben wurden, können von lokalen oder entfernten Angreifern dazu verwendet werden, die Verfügbarkeit der Anwendung einzuschränken, sensitive Informationen einzusehen, Daten auszulesen oder zu verändern, Sicherheitseinstellungen zu umgehen oder sogar beliebigen Code auszuführen.
Wir und Oracle empfehlen, die Updates so schnell wie möglich einzuspielen. Die Updates können über den Oracle Support bezogen werden.
Quelle: div. News Seiten
Datum: 29. Juli 2010
Betroffene Plattform: Typo3 4.x
Referenz: u.a. (http://www.vupen.com/english/advisories/2010/1946)
In dem verbreiteten Content Management System Typo3 wurden mehrere Schwachstellen bekannt, die ein Angreifer dazu ausnutzen könnte, Sicherheitseinstellungen zu umgehen, Cross-Site Scripting oder SQL Injection Angriffe durchzuführen, an sensitive Daten zu gelangen oder die komplette Kontrolle über ein System zu erhalten.
Betroffen sind die Versionen 4.1.13, 4.2.12, 4.3.3 und 4.4. Neben den genannten wurden weitere Schwachstellen ermittelt, die aber nur in speziellen Modulen enthalten sind, die nicht zum Standardumfang von Typo3 gehören.
Typo3 stellt für die oben genannten Versionen Updates unter (http://typo3.org/download/packages/ ) zur Verfügung. Es sollte aber darauf geachtet werden, dass die Versionen 4.2 und 4.3 als „depreceted“ bzw. „obsolate“ bezeichnet sind. Hier ist ein Update auf eine aktuellere Version anzuraten.
Autoren: Audit-Team der GAI NetConsult
Hinweis: Wir empfehlen die beschriebenen Gegenmaßnahmen möglichst schnell umzusetzen, wenn keine betrieblichen Belange dem entgegen stehen. Da wir die konkreten Empfehlungen aber auch nicht immer in der Praxis verifizieren können, weisen wir ausdrücklich darauf hin, dass eine darauf basierende Umsetzung auf eigenes Risiko erfolgt.
www.gai-netconsult.de
Die GAI NetConsult GmbH ist ein bundesweit tätiges Unternehmen mit den Geschäftsbereichen "IT-Sicherheit" und "Entwicklung & Integration". Das Angebot umfasst dabei die qualifizierte Beratung, Konzeption und Realisierung individueller Aufgabenstellungen bis zur Einführung und Betreuung im laufenden Betrieb. Nachgewiesene Expertise im Einsatz moderner Technologien und branchenübergreifende Anwendungserfahrung bilden die Basis für eine Vielzahl erfolgreicher Projekte. Kontinuität und Zuverlässigkeit in bestehenden Kundenbeziehungen, Fachvorträge auf exponierten Fachkongressen und nicht zuletzt exzellente Kundenreferenzen unterstreichen die Positionierung des Unternehmens als kompetenter IT-Dienstleister.
Das Team der GAI NetConsult verfügt über hervorragend ausgebildete Spezialisten mit durchweg langjähriger Erfahrung im Bereich von Kommunikations- und Sicherheitstechnologien sowie bei der Entwicklung verteilten Anwendungslösungen. Das Know-how beider Geschäftsbereiche kommt in unseren Projekten zur Beratung und Erstellung von "sicheren eBusiness-Anwendungen" besonders zur Geltung. Die ständig zunehmende Vernetzung vorhandener IT-Infrastrukturlösungen über das Internet und der vermehrte Einsatz von Webanwendungen als Portal für den Zugang zu kritischen Geschäftsprozessen erfordert die Bündelung von Security- und Applikations-Knowhow. Zur kompletten Realisierung sicherer eBusiness-Lösungen können wir als eines von wenigen Unternehmen in Deutschland auf Spezialisten in beiden Bereichen zurückgreifen.
 |
