Neues zur Sicherheit von Clients, nicht nur im Web
Auch in dieser Folge gibt es einen Überblick über die 2011 auf Sicherheitskonferenzen vorgestellten neuen Angriffe und mögliche Schutzmaßnahmen. Den Anfang macht noch einmal der Web-Client, bevor wir dann zu vom Web unabhängigen Angriffen auf den Client-Rechner übergehen.
Stefano Di Paola: DOM based Cross Site Scripting
Stefano Di Paola hat auf der Konferenz "Swiss Cyber Storm 2011" einen Vortrag über "DOM based Cross Site Scripting" gehalten. Beim DOM-basierten XSS wird der XSS-Schadcode durch eine Schwachstelle im clientseitigen Skriptcode eingeschleust, so dass der Server meist keine Chance hat, den Angriff zu erkennen. Je mächtiger der Web-Client wird, desto wahrscheinlicher enthält er DOM-basierte XSS-Schwachstellen, und desto größer ist das Missbrauchspotential.
Stefano Di Paola hat eine Reihe neuer Angriffe und Analyse-Methoden vorgestellt sowie ein Tool zur Suche nach entsprechenden Schwachstellen entwickelt. Er beschreibt, wo überall XSS-Code eingeschleust und wo er ausgeführt werden kann - und das sind sehr viele Stellen. Darunter einige, die die wenigsten verdächtigen würden. Viele der möglichen Gegenmaßnahmen enthalten mögliche Fehlerquellen, durch die sie bei falscher Verwendung umgangen werden können.
Sein Tool, der DOMinator, basiert auf Firefox 3.6.13 und erlaubt die Analyse und das Finden von DOM-basierten XSS-Schwachstellen. Außer Paketen für Linux und Windows steht auch eine von Mario Heidrich entwickelte DOMinator Virtual Appliance auf Ubuntu-Basis für VirtualBox bereit.
Rosario Valotta: UI Redressing Attacks
Rosario Valottas Vortrag auf der "Swiss Cyber Storm 2011" behandelte "UI Redressing Attacks" (einen weiteren Vortrag zum gleichen Thema hielt er auf der Konferenz "Hack in the Box Amsterdam 2011"). Dabei handelt es sich im Grunde nur um einen anderen Namen für das bekannte Clickjacking, und vorgestellt wurde u.a. die bereits bekannte "Content Extraction", d.h. das Kopieren von Webseiten-Inhalten über Clickjacking. Das wurde jedoch weiter verfeinert und dann mit einer Schwachstelle im Internet Explorer kombiniert. Das Ergebnis war das hier bereits vorgestellte Cookiejacking.
Thomas Röthlisberger: HTML5 Web Security
Ebenfalls auf der "Swiss Cyber Storm 2011" sprach Thomas Röthlisberger über "HTML5 Web Security". Nach einer Einführung in HTML5 stellte er Schwachstellen und mögliche Bedrohungen vor, um danach mögliche Schutzmaßnahmen zu beschreiben. Ein Punkt ist dabei besonders hervorzuheben:
"The risk of the Web Sockets API needs to be accepted.
• The only way to avoid Web Sockets would be to disable it in the browser."
Wenn JavaScript die Möglichkeit hat, selbstständig bidirektionale Netzwerkverbindungen aufzubauen, kann ein Angreifer, der JavaScript in den Browser einschleusen kann, diese Funktion natürlich missbrauchen. Das möchte man natürlich i.A. nicht, es lässt sich aber nicht vermeiden, wenn man nicht gleichzeitig auch dem erwünschten JavaScript-Code Steine in den Weg legen will.
Brian Mariani: Become fully aware of the potential dangers of ActiveX attacks
Brian Mariani hielt auf der "Swiss Cyber Storm 2011" einen Vortrag zum Thema "Become fully aware of the potential dangers of ActiveX attacks". Nach der obligatorischen Einführung beschreibt er die üblichen Schwachstellen in und Angriffe über ActiveX-Controls. Danach geht es um die Frage, wie man solche Schwachstellen finden kann. Das wird sehr ausführlich am Beispiel des von iDefense entwickelten Fuzzers ComRaider beschrieben. Außerdem werden die Prüfung der gefundenen Schwachstelle und die Entwicklung eines Exploits behandelt sowie die (wenigen) möglichen Schutzmaßnahmen vorgestellt.
Brian Mariani hat gezielte Angriffe als Aufhänger für seinen Vortrag verwendet und liefert mir damit einen Übergang vom Web-Client zum normalen Client - und dort zuerst um die gezielten Angriff im Rahmen der sog. "Advanced Persistent Threats" (APT).
Sung-ting Tsai & Ming-chieh Pan: Weapons of Targeted Attack
Auf der "Black Hat USA 2011" haben Sung-ting Tsai und Ming-chieh Pan einen Vortrag mit dem Titel "Weapons of Targeted Attack: Modern Document Exploit Techniques" gehalten. Während Brian Mariani ActiveX-Controls als einen Angriffsvektor im Rahmen gezielter Angriffe ausmachte, kümmerten Sung-ting Tsai und Ming-chieh Pan sich um Angriffe über präparierte Dokumente, mit denen Schwachstellen (nicht nur) in den zum Öffnen verwendeten Anwendungen ausgenutzt werden sollen.
Nach einer Beschreibung der bisher bekannt gewordenen gezielten Angriffe werden aktuelle Angriffstechniken vorgestellt, angefangen mit dem Hybrid Document Exploit. Dabei enthält ein Dokument ein weiteres Dokument, mit dem dann eine Schwachstelle in einem anderen als dem zum Öffnen der Ursprungsdatei verwendeten Programm ausgenutzt wird. Ein Beispiel für so einen Exploit ist z.B. das Excel-Dokument, das ein Flash-Objekt zum Ausnutzen einer Schwachstelle im Flash-Player enthielt und im Rahmen des gezielten Angriffs auf RSA eingesetzt wurde.
Weitere Themen waren Angriffe zum Aushebeln von Schutzmaßnahmen und "Advanced Memory Attack and Defense Techniques", bevor auf mögliche zukünftige Angriffe eingegangen wurde: Fortgeschrittene Fuzzing-Techniken zum Finden von Schwachstellen und Techniken zum Umgehen von Schutzmaßnahmen wie z.B. DEP und ASLR, Sandboxen und Zugriffskontrollen. Alle angesprochenen Punkte wurden ausführlich mit Beispielen versehen.
Auch in der nächsten Folge geht es um Vorträge auf Sicherheitskonferenzen, zuerst weiter zum Thema "Client Security".
Übersicht über alle Artikel zum Thema
- Neues zur Sicherheit von Web-Clients
- Neues zur Sicherheit von Web-Clients, Teil 2
- Neues zur Sicherheit von Clients, nicht nur im Web
- Neues zur Sicherheit von Clients
- Neues zur Sicherheit von Clients, Teil 2
- Neues zur Sicherheit von Webservern und -anwendungen
- Neues zur Sicherheit von Webservern und -anwendungen, Teil 2
- Sicherheitskonferenzen 2011: Autos und Insulinpumpen im Visier
- SAP-Anwendungen dringen ins Web vor, die Angreifer nehmen die Gegenrichtung
Trackbacks