Aktuelles Archiv 20 (IT-Blog von Thomas Murr)

MS-Nov.-Patchday: Zwei Lücken geschlossen (12.11.2008)

Der gestrige allmonatliche Tag des Updates bei Microsoft bietet zwei wichtige Patches für Windows 2000, XP, Vista, Server 2003 und 2008. Zum einen schliesst MS08-069 eine als kritisch eingestufte Lücke im Microsoft XML Core Service (3.0, 4.0, 6.0), die einem Angreifer eine Remotecodeausführung ermöglicht. Dazu genügt es, eine manipulierte Website mit dem Internet-Explorer anzuzeigen.

Der zweite Patch MS08-068 wird als hoch eingestuft und betrifft eine Lücke im SMB-Protokoll (Server Message Block), die es einem Angreifer ermöglicht, (Schad-)Code - über die Reflektion von Anmeldeinformationen des Benutzers zu einem präparierten SMB-Server - einzuschleusen. Ist die Datei- und Druckerfreigabe für das LAN aktiviert, sind die local Ports TCP 445 für SMB und TCP 139 (NetBIOS Session Service) auf dem System erreichbar und somit angreifbar, sofern eine Firewall und/oder NAT-Router Verbindungen auf diesen Ports von aussen nicht unterbindet. Siehe auch Seite: Häufig benötigte Ports.

Für erstere Lücke wird bereits in Kürze das Auftauchen eines Exploits erwartet, zur SMB-Schwachstelle befindet sich lt. Microsoft bereits ein Exploit in freier Wildbahn. Beide Updates sollten deshalb zügig eingespielt werden - nach der Installation, ist ein Reboot des Systems fällig.

WLAN: WPA mit TKIP-Protokoll ist geknackt (10.11.2008)

Die deutschen Sicherheitsexperten Erik Tews (TU-Darmstadt) und Martin Beck (TU-Dresden) haben einen Weg gefunden, die Verschlüsselung WPA (Wireless Protected Access) mit dem Protokoll TKIP (Temporal Key Integrity Protocol) von kabellosen Netzwerken (Wireless-LAN) zu knacken. So ist es nicht einmal nötig den Authentifizierungsschlüssel PSK (Pre Shared Key) zu cracken, sondern vielmehr handelt es sich um eine mathematische Methode, die das Senden grosser Datenmengen des WLAN-Routers provoziert und es dadurch - ähnlich den Replay-Attacks zu WEP (Wireless Equivalent-Privacy) - innerhalb von 15 Minuten möglich sein soll, Pakete (die eigentlich auf dem RC4-Algorithmus basierend verschlüsselt sind) mitzulesen und sogar eigene Pakete einzuschleusen.

Dazu wird der Message Integrity Check (MIC) sowie der Integrity Check Value (ICV) des TKIP-Protokolls mittels (aus WEP-Zeiten) bekannter chopchop-Attacke ermittelt. Nun soll es mit dem zusätzlichen Wissen der Client-IP-Adresse möglich sein, den Datenstrom der Schlüssel vom Access-Point zum Client (nicht umgekehrt) zu filtern und zu entschlüsseln, ohne dass der ursprüngliche Schlüssel bekannt ist. So liessen sich dann auch mit dem Schlüsselstrom relativ einfach Angreiferpakete einschleusen und an den Client senden.
Der Angriff ist laut Beck und Tews aber nur dann erfolgreich, wenn das Rekeying-Intervall (nach dieser Zeit generiert der Access-Point einen neuen [TKIP-]Schlüssel) nicht zu kurz ist - z.B. reichen 900-3600 Sekunden für einen gelungenen Angriff aus. D.h. mit der manuellen Access-Point-Einstellung des Rekeying-Intervalls von beispielsweise 60-120 Sekunden hat man momentan noch ausreichend Sicherheit. Siehe nähere Details im Bericht von Tews und Beck: Practical attacks against WEP and WPA (PDF-Datei)

WPA2 ist offenbar nicht betroffen, denn hier kommt anstatt TKIP das Protokoll AES (Advanced Encryption Standard) zur Verschlüsselung zum Einsatz (nach wireless Standard 802.11i), welches nicht den RC4-, sondern den sicheren CCMP-Algorithmus verwendet. Sofern die Hardware das AES-Protokoll unterstützt, sollten deshalb WLANs mit WPA-TKIP oder gar dem völlig veralteten und unsicheren WEP unbedingt auf WPA2, unter Ausnutzung der 63 möglichen Stellen des PSK (Zufalls- bzw. Sonderzeichen verwenden) mit Reykeying-Intervall von 60 Sekunden, umgestellt werden. Andernfalls empfehlen wir, das WLAN-Netzwerk möglichst in einem anderen Subnet als das LAN (siehe Beispiel) zu betreiben und zusätzlich ein Virtual-Private-Network over WLAN aufzusetzen, welches weitere Verschlüsselung und strenge Authentication-Methoden sowie Mechanismen, um Informationen über die Topologie des Netzwerks vor potentiellen Hackern zu verstecken (Maskierung), beinhaltet. Siehe dazu unsere Seiten:

• Sicherung eines kabellosen Netzwerks
• Tutorial zu OpenVPN
  (kann für einen VPN-Tunnel zwischen den dann getrennten Subnets WLAN und LAN verwendet werden)

Firmen sollten, um sich und Ihre Kunden(-Daten) zuverlässig zu schützen, unbedingt WPA mit AES über eine Radius-Server (Enterprise-Modus) verwenden. Hier wird kein Pre-Shared-Key zur Authentifizierung eingesetzt, sondern   ein temporärer Schlüssel von einem dritten Rechner (Radius-Server) bereitgestellt. Es handelt sich hierbei um die aktuell sicherste Methode; z.B. ist im Enterprise-Modus auch eine Dictionary- oder Brute-Force-Attacke - aufgrund des fehlenden statischen Authentifizierungsschlüssels (PSK) - wirkungslos.

Abschliessend sei gesagt/befürchtet: Aufgrund der Tatsache, dass es noch genügend WLAN-Netzwerke gibt, die nur unzureichend über WEP oder sogar überhaupt nicht verschlüsselt sind - sprich der Umstieg noch nicht einmal auf das seit heute unsichere WPA gänzlich vollzogen wurde - wird der Umstieg auf WPA2 wohl (zu) lange dauern, d.h. weiterhin “gute Zeiten” für War-Driver.

Heimliche Online-Durchsuchung wird in Kürze abgesegnet (06.11.2008)

Die Koalition ist sich nun nach dem Motto “Yes we can” einig und will die höchst umstrittene Novelle des Gesetzes für das Bundeskriminalamt (BKA) zügig auf den Weg bringen; bereits am kommenden Mittwoch* soll der Bundestag das Gesetz verabschieden - befristet bis 2020 <<:->>

<*update 12.11.2008>
Die Novelle des BKA-Gesetzes mit “Lizenz zum Bundestrojanern” wurde vom Bundestag verabschiedet. Sollte das Gesetz Ende Nov.-Mitte Dez. durch den Bundesrat rauschen (glückicherweise noch wacklig) und durch den Bundespräsident abgesegnet werden, wird sich die Regierung u.E. abermals eine blutige Nase in Karlsruhe (Bundesverfassungsgericht) holen. Die Klagen diverser Gegner sind jedenfalls schon vorbereitet.
</update>

Die Befugnisse des BKA, welche die präventive Terrorabwehr betreffen, werden dabei in hohem Maße ausgebaut. So ist u.a. vorgesehen:

• Computer dürfen HEIMLICH und vorsorglich durchsucht werden
• Lausch- und Spähangriff mit versteckten Mikrofonen und Kameras (auch vorsorglich)
• präventive Telekommunikationsüberwachung (Abfragen von Standortdaten, Abhören von Telefonaten...)

Das Gesetz sieht vor, dass die heimliche Online-Durchsuchung zuvor von einem Richter genehmigt werden muss, es sei denn, es handelt sich um eine besondere Gefährdungssituation, deren Feststellung bzw. Auslegung das BKA (!) vornehmen wird. Der BKA-Präsident erteilt dann eine sog. Eilbefugnis. Eine Nachkontrolle der durchgeführten Massnahme durch einen Richter, um deren Verhältnismässigkeit zu prüfen, ist nicht vorgesehen. Es würde somit ein unkontrolliertes Instrument zur flächendeckenden Dauerüberwachung geschaffen - denn unter dem Mantel der vorsorglichen Terrorabwehr taugt faktisch jeder Bürger zum potentiellen Terrorist (das BKA will nämlich vor dem Täter am Tatort sein ;-). Präventiv bedeutet letztendlich, dass man weder den Täter noch den Tatort oder das Opfer kennt, weshalb nur eine flächendeckende Suche ins Blaue bleibt, um erst einmal an terroristische Verdachtsmomente zu gelangen, die man vorgeblich ja schon hat (wer war zuerst da, die Henne oder das Ei?).

Ferner sollen zwei BKA-Beamte (anstatt einem Richter oder Bürgeranwalt) sowie jetzt auch der Datenschutzbeauftragte der Behörde (nicht der neutrale Bundesdatenschutzbeauftragte!) die ausgespähten Daten auf die Unantastbarkeit des Kernbereichs privater Lebensführung hin überprüfen - Im Klartext bedeutet dies, dass zwei eindeutig nicht objektive Menschen (subjektiv, weil aus dem Überwachungslager selbst stammend) und ein vielleicht neutraler Mensch, der die beiden anderen überwachen soll und damit hoffnungslos überfordert sein wird, die Persönlichkeitsrechte der Bürger sichern sollen. Dies ist in etwa so, als wenn Gefängnisinsassen ihre Zellenschlüssel selbst verwalten und der, von den Inhaftierten bestellte bzw. zuvor ausgesuchte, Wärter gewährleistet, dass sie dies auch richtig und verantwortungsvoll machen. Witzig? Leider gibt es nichts zu lachen!

Viele Experten hatten bei der zuvorigen parlamentarischen Anhörung grosse Zweifel geäussert, ob die Durchführung dieser Massnahmen verfassungsgemäss ist - u.a. warnte der ehemalige Chef des BND Hansjörg Geiger vor unverhältnismässigen Befugnissen für das BKA. Dies hat die entscheidenden, “fachkundigen” Politiker offensichtlich nicht interessiert, was bei Inkrafttreten des Gesetzes sicherlich weitere Verfassungsbeschwerden provozieren wird. Die Verabschiedung des Gesetzes in vorliegender Form wird der latenten Entwicklung zum transparenten, gläsernen Individuum leider immensen Vorschub leisten.

Wir ersparen uns jeglichen weiteren Kommentar zu dem dramatischen Abbau der Bürgerrechte, weil schon alles dazu gesagt wurde und verweisen deshalb auf unsere bisherigen Beiträge zu diesem bedauerlichen Thema:

• Nähere Informationen zum Bundestrojaner und TK-Überwachung
• Artikelübersicht zum Thema
• Politikerzitate zum Thema

Zur anstehenden Entscheidung bzgl. der Massenklage von 34.451 Bürgern (auch wir sind dabei) zur Vorratsdatenspeicherung hat das Bundesverfassungsgericht seine Auflagen um weitere sechs Monate verlängert (siehe das heutige Update zum Beitrag vom 04.09.2008).

Falsche Antiviren-Produkte-Schwemme (29.10.2008)

Mit gefälschten Virenalarmen und gefakten Virenscannern wird offensichtlich viel Geld verdient, denn anders ist die momentane Schwemme dieser “Hohl”-Software nicht zu erklären. Deshalb nochmals unser Appell, ein gesundes Maß an Misstrauen beim Surfen im WWW walten zu lassen bzw. immer den gesunden Menschenverstand (Hirn 2.0) dabei einzusetzen.

Die FALSCHEN Antivirenprodukte ähneln im Namen der echter Antivirensoftware bekannter Hersteller, um authentisch zu wirken. Ein paar aktuelle Beispiele: Antivirus XP/2008, Antispyware 2009, AntiSpyware XP 2008, AntiMalware Guard, Total Secure 2009, WinDefender 2008...etc.

Verbreitung/Schaden:
I.d.R. ist die Vorgehensweise bei allen gleich oder ähnlich, siehe dazu unseren Beitrag bzgl. “Antivirus XP/2008” vom 05.09.2008. Neben des Kreditkartenbetrugs (fällt man auf den Kauf herein) besteht die Gefahr der Infektion mit weiteren Viren & Co. über möglichen Payload (Software hat weitere Schädlinge an Bord) oder über das Nachladen dieser Schadsoftware aus dem Internet im Hintergrund.

Spoofing-Leck in Google Chrome (27.10.2008)

Die aktuell aufgedeckte Address-Spoofing-Schwachstelle in Googles Web-Browser Chrome kann von Phishing-Betrügern ausgenutzt werden, um Besucher auf eine gefälschte Webseite zu führen, ohne dass dies in der Browser-Adressleiste ersichtlich ist. Z.B. geht der Anwender davon aus, er befinde sich auf seiner Onlinebanking-Website, ist in Wirklichkeit aber auf einer nachgebauten, gefälschten Seite und seine Eingaben werden abgephisht. U.E. ist dies ein weiterer triftiger Grund, Chrome nicht für den täglichen Gebrauch zu verwenden.

Siehe weitere Artikel zu Google Chrome:

• Google Chrome: DOS-Schwachstelle hat negativen Einfluss auf Windows (26.09.2008)
• Fernsteuerung über Google-Chrome (06.09.2008)
• BSI warnt vor Google Chrome (06.09.2008)
• Update zum Chrome-Beitrag vom 03.09.2008 (04.09.2008)
• Sicherheitslücken in Googles Web-Browser “Chrome” (03.09.2008)

Microsoft: Ausserplanmässiges Sicherheits-Update (24.10.2008)

Seit gestern 23.10.2008 | 22:00 Uhr (MESZ) steht ein Sicherheits-Update ausser der Reihe von Microsoft zur Verfügung, welches eine schwerwiegende Lücke im Windows-RPC-Dienst (Remote Procedure Call) schliesst. Das Sicherheitsleck lässt sich lt. Fehlerbericht dazu ausnutzen, um (Schad-)Code über das Netz mittels präparierter RPC-Requests in ein verwundbares System einzuschleusen und auszuführen. Unter Windows 2000, XP und Server 2003 (nicht Vista und Server 2008) ist dazu nicht einmal eine Authentifizierung beim Zielsystem erforderlich! Schutz für verwundbare Systeme bietet nur eine aktivierte Firewall (block UDP/TCP-Ports 135-139 [DCOM RPC] und 445 [Direct Hosting/SMB]). Trotzdem sollte der Patch schnellstmöglich installiert werden, da es bereits erste gezielte Attacken* und ein öffentliches Exploit gibt. Nähere Infos im Security Bulletin MS08-067 von Microsoft; Link zum bekanntgewordenen Exploit.

Die beschriebene RPC-Lücke ähnelt der, die im Jahre 2003 durch den Wurm “Lovsan” ausgenutzt wurde (siehe unseren seinerzeitigen Bericht) und damals immense Schäden anrichtete. Deshalb wohl auch die umgehende Reaktion seitens Microsoft mit der Bereitstellung dieses ausserplanmässigen Updates.

*<update 25.10.2008>Der Wurm Gimmiv.A nutzt die RPC-Lücke bereits aktiv aus, sprich er wurde in freier Wildbahn (in-the-wild) gesichtet, siehe nähere Informationen zu Gimmiv auf dieser Seite.</update>

*<update 05.11.2008>Ein weiterer Wurm, der die RPC-Lücke in Windows ausnutzt, namens W32.Kernelbot.A ist unterwegs. Er verbreitet sich nicht “nur” über die eigentliche Schwachstelle selbst, sondern auch über Tauschnetzwerke (P2P). Im Hintergrund lädt er dazu einen eMule-Client nach und stellt einen manipulierten Film, in welchem er sich wiederum selbst versteckt, ins Filesharing-Netzwerk.
Wie bereits aus anderer Schadsoftware gewohnt, präpariert der Wurm zusätzlich die hosts**-Datei, um Zugriffe auf bestimmte Domains (Antivirensoftware- und Firewall-Hersteller) zu vereiteln. Auch versucht er gängige Antivirensoftware bzw. deren Dienste auf dem System zu beenden.</update>

**Erläuterung zur hosts-Datei:
Befindet sich unter Windows im Verzeichnis .\WINDOWS\system32\drivers\etc\ und enthält Zuordnungen von IP-Adressen zu Hostnamen, unter Umgehung von DNS-Servern im Internet, d.h. die Namensauflösung erfolgt dann lokal auf dem Windows-PC. Haben Sie dort selbst keine Veränderungen vorgenommen, sollte lediglich der Eintrag
< 127.0.0.1      localhost > enthalten sein (dabei handelt es sich um den lokalen Rechner).

Über die hosts-Datei kann beispielsweise die Domain einer Bank mit der IP-Adresse eines Angreifer-Servers verknüpft/manipuliert werden. Der Anwender wird dann selbst bei manueller Eingabe der Bank-URL in der Browser-Adressleiste auf die manipulierte Website umgeleitet (ohne es zu bemerken, es sei denn er vergleicht die angesteuerte IP-Adresse über Whois-Server mit dem zugewiesenen IP-Adressenbereich seiner Bank - wir machen so etwas tatsächlich :-). Die falsche Seite ist u.U. dann ein perfektes Abbild der wirklichen Onlinebanking-Website und der Bankkunde gibt seine Daten (Login, PIN, TAN...) arglos, ohne Verdacht zu schöpfen ein - in Wirklichkeit werden diese abgephisht.
Oder es kann über die hosts-Datei der Zugriff auf bestimmte Domains wie im obigen Fall von W32-Kernelbot.A unterbunden werden, um beispielsweise die Installation oder das Update eines Virenscanners zu verhindern.

Probieren Sie es aus: Ordnen Sie in der hosts-Datei (mit einem Text-Editor öffnen) die URL Ihres Kreditinstituts (z.B. www.ihre-bank.de) beispielsweise der IP-Adresse einer Suchmaschine zu (z.B. Yahoo: 87.248.112.8). Fortan erscheint bei der Eingabe der Adresse http://www.ihre-bank.de im Web-Browser die Yahoo-Suchseite anstatt die Online-Banking-Website. Im Ernstfall wäre dies natürlich eine nachgebaute Banking-Website, die sich kaum oder gar nicht von der tatsächlichen Bank-Internet-Präsenz unterscheiden würde.
Um die Umleitung des Beispiels rückgängig zu machen, löschen Sie die eingefügte Zeile einfach wieder in der hosts-Datei.

Weiteres (sinnvolles) Beispiel: Versehen Sie in der hosts-Datei die IP-Adresse Ihres Routers (angenommen
192.168.1.1) mit Ihrem gewünschten Hostnamen (z.B. “mein_router”). Das Router-Webinterface können Sie fortan mit dem vergebenen, einfach zu merkenden Namen (anstatt IP) über Ihren Browser aufrufen (z.B. http://mein_router ).

zum Archiv19 (16.09.2008-22.10.2008)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |