Kategorie Archiv: Schwachstellen

Microsofts DISP, GSP, SCP und CIPP

Vorgestern der Artikel über Homograph Spoofing und gestern der Artikel über Kernel Hook Bypassing Engine (KHOBE). Mit diesen Begriffen gewinnt man jedes verbale Kräftemessen. Auch mit Abkürzungen kann man immer gut angeben:  DISP, GSP, SCP und CIPP?  Kennen Sie nicht? Aber von KRITIS haben Sie schon gehört? Mit dem folgenden Satz, können Sie ihr Verständnis für globale Themen demonstrieren:

“Microsoft möchte ja jetzt die KRITIS-Herausforderungen mit den Programmen DISP und CIPP angehen. Dadurch werden die SCP- und GSP-Pläne etwas konkreter.”

Das Kaspersky-Blog Threatpost hatte berichtet, dass Microsoft Neuigkeiten zu seinem Defensive Information Sharing Program (DISP) herausgegeben habe, auch unter dem Codenamen Omega bekannt. Die Details kamen von Microsofts MSRC Ecosystem Strategy Team Blog, wo der Senior Security Program Manager Lead Steve Adegbite einige Eckpunkte seiner Rede auf der AusCERT 2010 wiedergegeben hatte.

Demnach will Microsoft zwei Programme anbieten, bei denen es darum geht, mit bestimmten Einrichtungen technische Informationen zu Microsoft-Schwachstellen zu teilen, um den Schutz kritischer Infrastrukturen (KRITIS) zu erleichtern. Eines davon ist das Defensive Information Sharing Program (DISP) als Teil des Government Security Program (GSP) und des Security Cooperation Program (SCP). Kurz gesprochen: Die Teilnehmer – vor allem Regierungen – erhalten von Microsoft Informationen zu Schwachstellen und Updates, bevor sie der Rest der Welt erhält. Das Critical Infrastructure Partner Program (CIPP) wendet sich mit ähnlichen Informationen an die KRITIS-Betreiber.

Fragt sich, welche Informationen zu Schwachstellen man zwar an KRITIS-Betreiber und Regierungen weitergeben kann, jedoch nicht an die Öffentlichkeit. Vielleicht soll vor Bekanntgabe an die Öffentlichkeit eine extra Qualitätssicherung durchgeführt werden? Wohl kaum. Die wäre ja gerade bei kritischen Infrastrukturen interessant. Vielleicht soll so aber auch nur ein Update von Bundestrojaner und Co. ermöglicht werden. Wäre ja wirklich ärgerlich, wenn ein automatisches Microsoft-Update eine polizeiliche Ermittlung behindern und so die nationale Sicherheit gefährden würde.

Kernel HOok Bypassing Engine (KHOBE)

Gestern habe ich geschrieben, dass es nie schaden kann, Begriffe drauf zu haben, die sonst niemand kennt. Homograph Spoofing ist ein solcher Begriff mit dem man Eindruck schinden kann. Wie wäre es denn mit KHOBE? Kennen Sie nicht? Mit dem folgenden Satz, sind Sie der Fachmann in der Gesprächsrunde:

“Letztendlich sind die KHOBE-Angriffe via SSDT auf Multi-Core-Systemen auch nicht TEOTWAWKI.” Wenn jemand fragt was das ist, sagen Sie: “Na Sie wissen schon: Argument-Switch-Attacks. Sie kennen das bestimmt aus den 90ern unter dem Namen TOCTTOU?”

Bei KHOBE handelt es sich um eine Angriffsvariante, die auf matousec.com vorgestellt wurde und nun die Gemüter erhitzt, weil der Angriff eine nicht unerhebliche Anzahl von Sicherheits-Produkten im Regen stehen lässt. Laut matousec.com ist das eine Beben der Stärke 8.0. Details zum Angriff finden Sie in dem ausführlichen Bericht auf matousec.com. Weitere Informationen zu TOCTTOU finden Sie hier (1996) und hier (2003).

Eine Bande für zwei Drittel aller Phishing-Angriffe verantwortlich

Heise.de berichtet, die in der zweiten Jahreshälfte 2009 registrierten Phishing-Angriffe (126.000) gingen nach Angaben der Anti Phishing Working Group (APWG) zu rund zwei Drittel auf das Konto der Phishing-Bande “Avalanche”. Das geht aus dem Bericht Global Phishing Survey: Trends and Domain Name Use in 2H2009 hervor.

Durch die Zusammenarbeit betroffener Banken, Registrare und anderer Dienstleister, sei es gelungen, die Avalanche-Angriffe relativ schnell einzudämmen. Die durchschnittliche “Uptime” eines Phishing-Angriff sei laut APWG von 50 Stunden (Anfang 2008) auf 32 Stunden (Ende 2009) gesunken. Im April 2010 seien so gut wie keine Aktivitäten der “Avalanche”-Bande mehr zu beobachten.

CVSS-Scores selbst berechnen und anwenden

In meinem aktuellen Projekt musste ich am Rande mit CVSS-Scores arbeiten. Dazu kommt es üblicherweise, wenn man Soft- und Hardware-Schwachstellen bewerten soll. Wenn die Anzahl der zu bewertenden Schwachstellen entsprechend groß ist, verliert man leicht den Überblick. Dafür gibt es die CVSS-Scores. So sehen sie aus: AV:L/AC:H/Au:M/C:C/I:P/A:P/E:U /RL:TF/RC:UC/CDP:LM/TD:H/CR:M/IR:L/AR:H Und schon weiß man Bescheid.

Naja, vielleicht nicht ganz. Um mehr Klarheit zu schaffen gibt es neben dem eher kryptisch anmutenden CVSS-Vektor einen Zahlwert zwischen 0 und 10, den man auch grafisch darstellen kann – grün ist gut, rot ist schlecht:

Ja: jetzt erkennt man mehr – nur was man da erkennt ist natürlich die Frage. Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework, mit dem man Schwachstellen aus verschiedenen Perspektiven bewertet, um am Ende einen standardisierten Wert zu erhalten. In diesem Fall 5,4 – also ein mittlerer Wert.

Dieser setzt sich aus mehreren anderen Werten zusammen, die drei Gruppen angehören: Base, Temporal und Environmental – also Basis, Temporär und Umgebung.

Base Score Metrics

Hier geht es darum, zu bewerten wie leicht oder schwer ein Angriff auf eine Schwachstelle durchzuführen ist und darum, welchen Schaden man anrichten kann. In IT-Kauderwelsch heißt das: “Die Base-Score-Metrics setzen sich aus dem Exploitabiliy-Subscore – also Access-Vector, Access-Complexity, Authentication – und dem Impact-Subscore zusammen – also dem Confidentiality-, Integrity- oder Availability-Impact”.

Environmental Score Metrics

Hier spielt das Unternehmen oder die Behörde, in der man sich befindet eine Rolle. In wie weit ist man dem Angriff ausgeliefert und welchen Schutzbedarf hat man? IT-Kauderwelsch: “Die Environmental-Score-Metrics setzen sich aus den General-Modifiers – also Collateral-Damage-Potential und Target-Distribution – und den Impact-Subscore-Modifiers zusammen – also den Confidentiality-, Integrity- oder Availability-Requirements”.

Temporal Score Metrics

Hier kommt der Faktor Zeit zum Tragen: Eine Schwachstelle die noch nicht gepatcht ist, ist schlimmer, wie eine, bei der es schon ein Hersteller-Patch gibt. Handelt es sich nur um eine Idee für einen Angriff oder wurde schon bewiesen dass der Angriff funktioniert? Auch hier wieder in IT-Kauderwelsch: “Die Temporal-Score-Metrics setzen sich aus der Exploitability, dem Remediation-Level und der Report-Confidence zusammen”

Was bringt das Ganze?

Der Vorteil der CVSS-Scores besteht nun darin, den Kauderwelsch in Management-Deutsch übersetzen zu können: grün, orange, rot.

  • Grün: gut!
  • Orange: aufpassen!
  • Rot: heiß, aua!

Im Vergleich zwischen vielen Schwachstellen kann man mit CVSS-Scores die Entscheidung transparent machen, welches Problem man zuerst angeht. Wenn Sie wissen wollen wie sich der Wert genau zusammensetzt, finden Sie diese Informationen auf den Seiten der National Vulnerability Database.

CVSS-Rechner

Damit sich auch der Fachmann nicht allzu lange mit den Werten ärgern muss, gibt es eine ganze Reihe von Tools, mit denen man schnell produktiv werden kann:

Mein Favorit ist der Plattform unabhängige CVSS-Calculator von Goebel Consult. Für private Nutzung und für die Nutzung in Unternehmen bis 49 Mitarbeitern ist das Tool kostenlos und es kann CVSS-Vektoren mit cut-and-paste verarbeiten. Eine deutsche Übersetzung findet man bei der Münchener Firma Goebel Consult leider nicht, dafür aber in Japan bei der Information-Technology Promotion Agency. Und schön gestaltet ist deren Online-Demo ebenfalls.

Apple patcht 88 Mac OS X Schwachstellen

Apple hat gestern eines seiner größten Security-Updates herausgegeben und schließt damit nicht weniger als 88 bekannte Sicherheitslücken. Das Update auf Version 10.6.3 wird als kritisch eingestuft. Mit von der Partie sind Remote Code Execution Schwachstellen, Denial of Service Angriffe oder Angriffe mit manipulierten Bildern oder Videos. Auf der Apple-Website finden Sie eine vollständige Liste der Schwachstellen. Dort finden Sie auch das Update. (Mehr Infos im Artikel auf threatpost)