Microsoft hat seine Anwälte auf ein Botnet und eine Whistleblower-Seite gehetzt. Es gibt Paper zur Entwicklung von Exploits und "Pass-the-hash"-Angriffe, und vom Evtx Parser wurde Version 1.0.3 veröffentlicht. Bei F-Secure fragt man sich 'This you?? What's the point of phishing a Twitter account?' und vermutet einen Zusammenhang mit bösartiger Suchmaschinenoptimierung, Sophos hat ein Social Media Security Toolkit ("ThreatBeaters" genannt) veröffentlicht, das dabei helfen soll, Benutzer auf die Gefahren in Social Networks etc. vorzubereiten, und im Application Security Street Fighter Blog geht es in der Serie mit Beiträgen zu den Top 25 der gefährlichsten Programmierfehler um Rank 8 – Unrestricted Upload of Dangerous File Type.

Microsoft ./. Waledac

Microsoft geht sowohl rechtlich als auch technisch gegen das Botnet Waledac vor. Man hat sich vom U.S. Eastern Court of Virginia die Erlaubnis geholt (Klageschrift als PDF), 277 .com-Domains zeitweise still legen zu lassen, die verdächtigt werden, unter der Kontrolle von Cyberkriminellen zu stehen und der Steuerung des Botnets zu dienen. Durch das aus dem Verkehr ziehen der Domains geht den Cyberkriminellen zumindest teilweise die Kontrolle über das Botnet verloren, außerdem versucht Microsoft technisch, die Peer-to-Peer-Kommunikation des Botnets einzuschränken. Das Vorgehen wird im Blog 'Microsoft On The Issues' ausführlich beschrieben: 'Cracking Down on Botnets'.

Microsoft ./. Cryptome.org

So erfolgreich Microsofts Vorgehen gegen Waledac war, so erfolglos war es gegen die Whistleblower-Seite Cryptome.org: Durch die Veröffentlichung des "Global Criminal Compliance Handbook" sah Microsoft sein Copyright verletzt, was man dem Hoster von Cryptome.org mitteilte. Der nahm die Website daraufhin noch vor Ablauf der Frist, in der sich der Betreiber zu dem Vorwurf äußern konnte, vom Netz. Der Betreiber sieht die Veröffentlichung durch die "fair use"-Regelung im Digital Millennium Copyright Act (DMCA) gedeckt, so dass der Hoster eigentlich gar nicht berechtigt war, die Website vom Netz zu nehmen. Außerdem hätte Microsoft besser vorher mal jemanden fragen sollen, der sich mit sowas aus kennt - z.B. Barbra Streisand. Jetzt hat z.B. Wired über den Vorfall berichtet und das eigentlich gar nicht besonders interessante Dokument ebenso wie WikiLeaks (PDF) veröffentlicht (PDF), und Cryptome ist unter einer anderen Domain erreichbar (http://cryptomeorg.siteprotect.net/). Inzwischen hat Microsoft einen Rückzieher gemacht, http://cryptome.org/ ist wieder online. Und wofür die ganze Aufregung? Das "Handbook" richtet sich an Strafverfolger und führt auf, welche Informationen sie über Nutzer von Microsofts Online-Angeboten erhalten können, wie sie z.B. die Logfiles lesen müssen, und welche Anträge wie gestellt werden müssen. Entsprechende Anleitungen hat Cryptome übrigens auch für verschiedene andere Onlineangebote veröffentlicht.

Exploits entwickeln

Peter Van Eeckhoutte beschreibt in inzwischen neun Tutorials die Entwicklung zuverlässiger Exploits für Pufferüberlauf-Schwachstellen. Angefangen von der Frage, ob ein Absturz überhaupt zum Einschleusen von Code ausnutzbar ist geht es über die Suche nach Platz für den Shellcode zu dessen Ansprung. Weitere Themen sind das Erstellen eines Moduls für das Exploit-Framework Metasploit, die Nutzung verschiedener Tools, das Umgehen von Schutzmaßnahmen, die Besonderheiten von Unicode, die Suche nach dem Osterei Shellcode und wie man ihn schreibt.

1. Stack Based Overflows
2. Stack Based Overflows – jumping to shellcode
3. SEH Based Exploits
   und SEH Based Exploits – just another example
4. From Exploit to Metasploit – The basics
5. How debugger modules & plugins can speed up basic exploit development
6. Bypassing Stack Cookies, SafeSeh, HW DEP and ASLR
7. Unicode – from 0x00410041 to calc
8. Win32 Egg Hunting
9. Introduction to Win32 shellcoding

Einmal Hash, bitte

Machmal kann man die Authentifizierung einer Webanwendung umgehen, indem man statt des Passworts dessen ausgespähten Hashwert übergibt. Bashar Ewaida beschreibt in seinem Paper "Pass-the-hash attacks: Tools and Mitigation" (PDF), welche Möglichkeiten es für solche Angriffe gibt und wie man ihnen begegnet.

Evtx Parser Version 1.0.3 veröffentlicht

Andreas Schuster hat eine neue Version seines Parsers für die binären, XML-basierten Ereignisprotokolle von Windows Vista, Evtx Parser (Download als .zip) veröffentlicht. In Version 1.0.3 wurden wieder einige Fehler behoben, außerdem gibt es neue Funktionen. So werden z.B. die vorhandenen Prüfsummen geprüft und Hex-Zahlen im Format von Microsofts Event Viewer ausgegeben.

Gefährliche Schwachstellen vom 25.02.2010

• Datev DVBSExeCall ActiveX Control:
  Unsichere Methode ExecuteExe() im ActiveX-Control DVBSExeCall.ocx erlaubt Ausführung beliebigen Codes
• NOS Microsystems getPlus ActiveX Control:
  Einschleusen beliebigen Codes möglich
• EMC HomeBase Server:
  Directory-Traversal-Schwachstelle im SSL-Service erlaubt Heraufladen beliebiger Dateien in beliebige Verzeichnisse (vom 24.02.2010, aktualisiert)
• MediaCoder:
  Pufferüberlauf beim Verarbeiten präparierter .m3u-Dateien erlaubt Ausführung beliebigen Codes (vom 09.03.2009, aktualisiert)
• Max's Photo Album:
  Heraufladen beliebiger Dateien möglich (vom 18.12.2009, aktualisiert)
• Adobe Download Manager:
  Zwangsweise Installation einer ggf. angreifbaren Version des Adobe Reader oder Flash Player sowie beliebiger anderer Programme möglich (vom 18.02.2010, aktualisiert)

Carsten Eilers