TC Blog » Schwachstellen

Die Wolke hat keine Lücken

Simon Bieber — Tue, 25 Oct 2011 16:19:12 +0000

Die Schwachstelle in Amazons Cloud Service, die von Forschern der Ruhr-Universität Bochum gefunden wurde, ist keine Schwachstelle in Cloud-Diensten. Das liest sich jedoch leider in manchen Meldungen, als sei der Cloud-Dienst verwundbar – nur wenige wählen die Überschrift besser. Vielmehr bestanden die Schwachstelle(n) in den Webanwendungen, die zur Verwaltung dieser Dienste genutzt werden. Schwachstelle in Webanwendung != Schwachstelle im Cloud-Computing bzw. Cloud-Dienst.

Verwundbar gewesen ist hier eine SOAP-Schnittstelle zur Verwaltung von EC2-Diensten gegenüber sogenannter XML-Signature Wrapping Attacken. Kurz zusammengefasst kann man sagen, dass dem signierten Inhalt der SOAP-Nachricht weiterer Content hinzugefügt bzw bestehender verändert wurde, der trotz Signaturprüfung zur Ausführung für valide gehalten wurde und dadurch verarbeitet wurde.

Weiterhin sind Cross-Site-Scripting (XSS) Schwachstellen entdeckt worden.

Sollten Sie neugierig geworden sein oder wünschen Sie Beratung zum Thema Webanwendungssicherheit bzw. Prüfung von Webdiensten, so nehmen Sie doch einfach und unverbindlich Kontakt mit uns auf.

/sb

M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003

Simon Bieber — Tue, 20 Jul 2010 08:20:03 +0000

Im Kundenumfeld bekommt man immer wieder mit, dass die Umsetzung dieser Maßnahme auf wehemente Gegenwehr stößt. Aussagen wie “Es gibt andere Tools die das weitaus besser können / nicht so einfach umgangen werden können” und “Das Bringt doch sowieso nichts” sind des öfteren zu hören. Doch gerade dem Argument in der letzteren Aussage kann mit diesem Beispiel der Wind aus den Segeln genommen werden:

Die aktuelle Windows-Schwachstelle, bei der sich über .LNK-Dateien Schadcode aus DLL-Dateien beim Laden der Icons nachladen lässt, kann u. A. mit Hilfe einer Softwareeinschränkungsrichtlinie eingedämmt werden. Eine Anleitung dazu gibt es hier.

Was man mit Softwareeinschränkungsrichtlinien noch so alles treiben kann beschreibt der Autor ebenfalls in mehreren Artikeln. Will man ein paar Basics, dann kann man aber auch hier nachsehen

/sb

PDFs doch abschaffen?

tglemser — Wed, 31 Mar 2010 13:56:57 +0000

Didier Stevens hat den neuesten Hack für PDF-Leseprogramme (neudeutsch Reader) veröffentlicht. In diesem Falle ein Hack im eigentlichen Sinne, also der kreative Umgang mit Computern und Daten, um Features in einer Form zu nutzen, an die der Hersteller nicht gedacht hat.

Damit lassen sich Kommandos beim reinen Öffnen einer Datei starten, ohne, dass der “Angreifer” hierfür eine Schwachstelle des Lesers ausnutzt. It’s a feature. Tolle Sache. Empfehlung: Das Demo-PDF von Didier herunterladen, nur zur Veranschaulichung. Sehr schön..

Bisher hat man PDFs ja sehr gerne verwendet (wir auch), da die Dinger auf jedem System (wenn das PDF “richtig” erstellt wurde) gleich aussehen, der Inhalt statisch ist (haha), jedes System ein entsprechendes Leseprogramm beinhaltet oder zumindest ein Programm leicht verfügbar ist und darüber hinaus die Dateigröße attraktiv ist.

Ad-Hoc Gegenmaßnahmen
Es empfiehlt sich in jedem Fall PDF-Browser-Plugins abzuschalten, so dass nicht beim Klick auf ein PDF dieses sofort geöffnet wird. Explizites Speichern und Öffnen macht Sinn.
Letztlich muss man asap seine Nutzer sensibislieren, dass PDFs derzeit die Pest sind und nur aus vertrauenswürdigen Quellen geöffnet werden dürfen. Welche das genau sind, lässt sich nur organisationsspezifisch bestimmt werden.

Helfen würde in einem ersten Wurf auch der Wechsel auf ein “dummes” Programm zum Betrachten von PDFs, das mit dem ganzen neumodischen Schnick-Schnack nicht umgehen kann. Irfan-View macht das zum Beispiel. Weitere Programme finden sich in der Wikipedia.

/gt