Channel Security

Diesmal im Standpunkt Sicherheit: Virtuelle Angriffe auf reale Ziele, ein Wiedersehen mit NCTsofts ActiveX-Controls und eine Warnung vor drohendem Unheil durch Flash-Exploits.

Nikto, Jikto, Slikto

Von Montag bis Dienstag letzter Woche war ich auf der webinale 08 in Karlsruhe. Parallel dazu fand u.a. die Metaverse 08 statt, eine Konferenz für/über virtuelle Welten wie z.B. Second Life. Die interessieren mich eigentlich überhaupt nicht, aber eine Session klang interessant: "Hacking Second Life". Nun ist es mir ziemlich egal, wenn sich die Leute gegenseitig ihr virtuelles Leben schwer machen, nur zu, das hält vielleicht ein paar der Skriptkiddies von richtigen Systemen fern. Michael Thumann hatte aber auch für die reale Welt ein paar schlechte Nachrichten: Angriffe aus der virtuellen Welt gegen reale Systeme sind möglich. Ups. Keine Ahnung, ob das als Bug oder Feature durchgehen soll, aber aus Second Life heraus können z.B. automatisiert E-Mails verschickt und HTTP-Requests gesendet werden. Das erste erlaubt den Versand von Spam, das zweite beliebige Angriffe auf beliebige Server. Nikto und Jikto (siehe About Security #137) sind ja schon länger bekannt, jetzt kommt slikto, ein Schwachstellenscanner, der aus Second Life heraus Webserver auf Schwachstellen untersuchen kann. Im Gegensatz zu Jikto ist der zwar noch nicht im Internet verfügbar, aber die Anpassung von Jikto oder auch eine Neuentwicklung dürfte kein größeres Problem darstellen, da die grundlegenden Techniken ja bekannt sind.

Schatten und Licht

Das für das Opfer Unangenehme bei Angriffe aus der virtuellen Welt: Die Angriffe lassen sich bis zu den Servern der virtuellen Welt, hier also die von Second Life, zurückverfolgen, dann ist erst mal Schluss. Ich hoffe, die jeweiligen Betreiber können dann den Verursacher ermitteln, aber wenn der sich z.B. über tor mit der virtuellen Welt verbunden hat, wird das nicht viel helfen. Wo Schatten ist, ist aber auch Licht: Sollte es wirklich mal zu entsprechenden Angriffen kommen, muss man nur die Zugriffe aus der virtuellen Welt, also z.B. von "Second Life"-Servern, abblocken, was meines Erachtens kein großer Verlust ist.

Nicht schon wieder!

Es kommt immer mal wieder vor, dass ich beim Erfassen einer Schwachstelle sowas wie "Nicht schon wieder!" denke. Meist dann, wenn absehbar ist, dass eine Schwachstelle massiv ausgenutzt wird - oder weite Kreise zieht. Letzte Woche war es mal wieder soweit: Das US-CERT hat mehrere Pufferüberlaufschwachstellen in NCTsofts NCTAudioInformation2 und NCTAudioGrabber2 ActiveX-Controls gefunden. Fast dasselbe gab es letztes Jahr schon einmal, damals im NCTAudioFile2 ActiveX-Control. Darauf folgten massenhaft verwundbare Programme, die dieses ActiveX-Control verwendeten und in der Folge ebenfalls verwundbar waren. Damals (im Standpunkt Sicherheit vom 29. Januar 2007) schrieb ich

"Was bleibt: Ein riesiger Haufen verwundbarer Rechner, von deren Verwundbarkeit die Anwender oft nicht einmal etwas wissen. Eine Lücke, für die es keinen Patch gibt. Und wenn es einen Patch gibt, muss der erst einmal an alle betroffenen Softwarehersteller und danach an alle betroffenen Anwender verteilt werden. Wenn das kein lohnendes Ziel für jeden Schädlingsentwickler ist, weiß ich nicht, was die sonst anlocken könnte wie das Aas die Geier..."

Patch fällt aus

Auf ein Update braucht diesmal niemand zu warten: NCTsoft entwickelt das Programm nicht mehr weiter, und daher wird es auch kein Update geben. Da die ActiveX-Controls dieses Herstellers jetzt schon mehrfach negativ aufgefallen sind, bleibt wohl nur ein Rat: Weg damit, rein in den digitalen Sondermüll. Mit anderen Worten: Alle ActiveX-Controls von NCTsoft löschen oder zumindest das Kill-Bit dafür setzen. Und wer jetzt denkt, er hat keines der betroffenen Controls auf seinem Rechner, sollte noch mal genau nachsehen. Erstens wurde der Hersteller umbenannt und heißt jetzt Online Media Technologies, zweitens wurden bereits wieder etliche Programme gemeldet, die diese ActiveX-Controls einsetzen. Für Angreifer bedeutet das: "One Exploits fits all" - na toll.

Keine(?) neue Flash-Lücke?

Am Mittwoch wurde gemeldet, dass eine Schwachstelle in Flash massiv ausgenutzt wird, um Schadsoftware zu verbreiten. Ob die neueste Version des Flash-Players betroffen ist oder nicht, ist eigentlich immer noch nicht endgültig geklärt. Dancho Danchev hat das Ganze in seinem Blog verfolgt.

Zurzeit sieht es so aus, als wäre die aktuelle Version nicht betroffen, die bisher gefundenen Exploits nutzten eine im April geschlossene Schwachstelle aus (CVE-2007-0071). Sowohl Secunia als auch SecurityFocus haben ihre Advisories zur neuen Schwachstelle inzwischen zurückgezogen.

Das Problem dabei: Die Programme, die die präparierten .swf-Dateien zum Ausnutzen der Schwachstelle nachladen, bilden den Dateinamen dafür anscheinend aus dem Betriebssystem des Clients, der Versionsnummer von Flash und dem verwendeten Browser. Im Fall von Windows mit dem Flash-Player 9.0.124.0 und dem Internet Explorer als Browser ergibt das WIN%209,0,124,0ie.swf als nachzuladende Datei. Symantec hat beobachtet, wie ein so nachgeladener Exploit den aktuellen Flash-Player zum Absturz brachte, wobei evtl. Schadcode ausgeführt werden könnte. Der Absturz ist laut Adobe aber beabsichtigt. Was ich persönlich sehr merkwürdig finde: Welches Programm stürzt denn absichtlich ab?

Angriff im Anmarsch?

Halten wir also vorerst folgende Punkte fest:

1. Aktuell wird "nur" eine bereits seit längerem bekannte und behobene Schwachstelle ausgenutzt.
2. Das eingesetzte Schadprogramm ist in der Lage, einen Exploit für eine beliebige Kombination von Betriebssystem, Flash-Player-Version und Webbrowser nachzuladen.
3. Bisher wurde kein Exploit für die aktuelle Version des Flash-Players gefunden.

Also mir persönlich ist das für den Schluss "Die aktuelle Version ist nicht gefährdet" etwas zu wenig. Was ist, wenn in ein paar Tagen, nachdem sich alle den neuen Flash-Player geholt haben und in Sicherheit wiegen, ein scharfer Exploit ausgeliefert wird? Ist das so unwahrscheinlich? In meinen Augen nicht, ganz im Gegenteil klingt das für mich wie eine erfolgsversprechende Strategie für einen großangelegten Angriff. Warum? Ganz einfach: Jetzt wurde überall "0-Day, Gefahr!" geschrien und dann mit "April April" zurückgerudert. Wenn nächste Woche wirklich ein 0-Day-Exploit auftaucht, wird das bei vielen Benutzern als "Ach, bestimmt wieder nur blinder Alarm" abgehakt. Ich hoffe, ich irre mich, aber sicherheitshalber werde ich vorerst Flash ausgeschaltet lassen.

Carsten Eilers