Kategorie-Archiv: Schwachstellen

Kernel HOok Bypassing Engine (KHOBE)

Gestern habe ich geschrieben, dass es nie schaden kann, Begriffe drauf zu haben, die sonst niemand kennt. Homograph Spoofing ist ein solcher Begriff mit dem man Eindruck schinden kann. Wie wäre es denn mit KHOBE? Kennen Sie nicht? Mit dem folgenden Satz, sind Sie der Fachmann in der Gesprächsrunde:

“Letztendlich sind die KHOBE-Angriffe via SSDT auf Multi-Core-Systemen auch nicht TEOTWAWKI.” Wenn jemand fragt was das ist, sagen Sie: “Na Sie wissen schon: Argument-Switch-Attacks. Sie kennen das bestimmt aus den 90ern unter dem Namen TOCTTOU?”

Bei KHOBE handelt es sich um eine Angriffsvariante, die auf matousec.com vorgestellt wurde und nun die Gemüter erhitzt, weil der Angriff eine nicht unerhebliche Anzahl von Sicherheits-Produkten im Regen stehen lässt. Laut matousec.com ist das eine Beben der Stärke 8.0. Details zum Angriff finden Sie in dem ausführlichen Bericht auf matousec.com. Weitere Informationen zu TOCTTOU finden Sie hier (1996) und hier (2003).

Eine Bande für zwei Drittel aller Phishing-Angriffe verantwortlich

Heise.de berichtet, die in der zweiten Jahreshälfte 2009 registrierten Phishing-Angriffe (126.000) gingen nach Angaben der Anti Phishing Working Group (APWG) zu rund zwei Drittel auf das Konto der Phishing-Bande “Avalanche”. Das geht aus dem Bericht Global Phishing Survey: Trends and Domain Name Use in 2H2009 hervor.

Durch die Zusammenarbeit betroffener Banken, Registrare und anderer Dienstleister, sei es gelungen, die Avalanche-Angriffe relativ schnell einzudämmen. Die durchschnittliche “Uptime” eines Phishing-Angriff sei laut APWG von 50 Stunden (Anfang 2008) auf 32 Stunden (Ende 2009) gesunken. Im April 2010 seien so gut wie keine Aktivitäten der “Avalanche”-Bande mehr zu beobachten.

CVSS-Scores selbst berechnen und anwenden

In meinem aktuellen Projekt musste ich am Rande mit CVSS-Scores arbeiten. Dazu kommt es üblicherweise, wenn man Soft- und Hardware-Schwachstellen bewerten soll. Wenn die Anzahl der zu bewertenden Schwachstellen entsprechend groß ist, verliert man leicht den Überblick. Dafür gibt es die CVSS-Scores. So sehen sie aus: AV:L/AC:H/Au:M/C:C/I:P/A:P/E:U /RL:TF/RC:UC/CDP:LM/TD:H/CR:M/IR:L/AR:H Und schon weiß man Bescheid.

Naja, vielleicht nicht ganz. Um mehr Klarheit zu schaffen gibt es neben dem eher kryptisch anmutenden CVSS-Vektor einen Zahlwert zwischen 0 und 10, den man auch grafisch darstellen kann – grün ist gut, rot ist schlecht:

Ja: jetzt erkennt man mehr – nur was man da erkennt ist natürlich die Frage. Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework, mit dem man Schwachstellen aus verschiedenen Perspektiven bewertet, um am Ende einen standardisierten Wert zu erhalten. In diesem Fall 5,4 – also ein mittlerer Wert.

Dieser setzt sich aus mehreren anderen Werten zusammen, die drei Gruppen angehören: Base, Temporal und Environmental – also Basis, Temporär und Umgebung.

Base Score Metrics

Hier geht es darum, zu bewerten wie leicht oder schwer ein Angriff auf eine Schwachstelle durchzuführen ist und darum, welchen Schaden man anrichten kann. In IT-Kauderwelsch heißt das: “Die Base-Score-Metrics setzen sich aus dem Exploitabiliy-Subscore – also Access-Vector, Access-Complexity, Authentication – und dem Impact-Subscore zusammen – also dem Confidentiality-, Integrity- oder Availability-Impact”.

Environmental Score Metrics

Hier spielt das Unternehmen oder die Behörde, in der man sich befindet eine Rolle. In wie weit ist man dem Angriff ausgeliefert und welchen Schutzbedarf hat man? IT-Kauderwelsch: “Die Environmental-Score-Metrics setzen sich aus den General-Modifiers – also Collateral-Damage-Potential und Target-Distribution – und den Impact-Subscore-Modifiers zusammen – also den Confidentiality-, Integrity- oder Availability-Requirements”.

Temporal Score Metrics

Hier kommt der Faktor Zeit zum Tragen: Eine Schwachstelle die noch nicht gepatcht ist, ist schlimmer, wie eine, bei der es schon ein Hersteller-Patch gibt. Handelt es sich nur um eine Idee für einen Angriff oder wurde schon bewiesen dass der Angriff funktioniert? Auch hier wieder in IT-Kauderwelsch: “Die Temporal-Score-Metrics setzen sich aus der Exploitability, dem Remediation-Level und der Report-Confidence zusammen”

Was bringt das Ganze?

Der Vorteil der CVSS-Scores besteht nun darin, den Kauderwelsch in Management-Deutsch übersetzen zu können: grün, orange, rot.

  • Grün: gut!
  • Orange: aufpassen!
  • Rot: heiß, aua!

Im Vergleich zwischen vielen Schwachstellen kann man mit CVSS-Scores die Entscheidung transparent machen, welches Problem man zuerst angeht. Wenn Sie wissen wollen wie sich der Wert genau zusammensetzt, finden Sie diese Informationen auf den Seiten der National Vulnerability Database.

CVSS-Rechner

Damit sich auch der Fachmann nicht allzu lange mit den Werten ärgern muss, gibt es eine ganze Reihe von Tools, mit denen man schnell produktiv werden kann:

Mein Favorit ist der Plattform unabhängige CVSS-Calculator von Goebel Consult. Für private Nutzung und für die Nutzung in Unternehmen bis 49 Mitarbeitern ist das Tool kostenlos und es kann CVSS-Vektoren mit cut-and-paste verarbeiten. Eine deutsche Übersetzung findet man bei der Münchener Firma Goebel Consult leider nicht, dafür aber in Japan bei der Information-Technology Promotion Agency. Und schön gestaltet ist deren Online-Demo ebenfalls.

Apple patcht 88 Mac OS X Schwachstellen

Apple hat gestern eines seiner größten Security-Updates herausgegeben und schließt damit nicht weniger als 88 bekannte Sicherheitslücken. Das Update auf Version 10.6.3 wird als kritisch eingestuft. Mit von der Partie sind Remote Code Execution Schwachstellen, Denial of Service Angriffe oder Angriffe mit manipulierten Bildern oder Videos. Auf der Apple-Website finden Sie eine vollständige Liste der Schwachstellen. Dort finden Sie auch das Update. (Mehr Infos im Artikel auf threatpost)

Windows 7 mit Internet Explorer 8 in 2 Minuten gehackt

Zwei Hacker haben auf der CanSecWest gestern je 10.000$ gewonnen. Der deutsche Hacker Nils hatte einen Weg gefunden, um über ein Exploit für Firefox 3.6 die Schutzfunktionen DEP und ASLR zu umgehen. Dem Niederländer Vreugdenhil war es gelungen, mit einer Kombination aus zwei Exploits zunächst ASLR und dann ebenfalls DEP zu überwinden. Er hatte dafür den Internet Explorer 8 angegriffen. Beide Hacks wurden auf einem vollständig gepatchten 64-bit Windows 7 durchgeführt. Nils und Vreugdenhil erhielten neben den 10.000$ jeweils das gehackte Notebook und einen Freifahrschein für die diesjährige DefCon Konferenz in Las Vegas.

Computerworld Security berichtete: “Es waren zwei Exploits”, sagte Vreugdenhil zu seinem unüblichen Angriff. “Ich hätte auch nur eines verwenden können, das hätte aber zu lange gedauert.” Durch die Verwendung dieser speziellen Technik konnte er den Rechner in nur wenig mehr als zwei Minuten übernehmen. Hätte er nur ein Exploit genutzt, hätte er 50 bis 60 Minuten benötigt.*

* Keine offiziellen Übersetzungen aus dem Englischen. Die Original-Zitate finden Sie über die angegebenen Links oder in der englischen Version.