Eine Schwachstelle in OAuth erlaubt einen mit einem Session-Fixation-Angriff vergleichbaren Angriff, das 'Rootkit der nächsten Generation' ist näher als gedacht, und ein russischer Schädling sperrt Benutzer aus. Außerdem hat Bruce Schneier in seinem Blog ein Essay über das Einschätzen von Risiken allgemein und im Hinblick auf den RPC-Wurm Conficker/Downadup veröffentlicht.

Schwachstelle in OAuth

Eine Schwachstelle im Authentifizierungsprotokoll OAuth erlaubt bei der Benutzung der 'OAuth Request Token Authorization Flow' ('3-legged OAuth') einen mit einem Session-Fixation-Angriff vergleichbaren Angriff. Grob vereinfacht läuft der Angriff so ab, das sich der Angreifer dabei auf einer Website ein Authentifizierungstoken seines Opfers beschafft und es auf einer anderen Website einsetzt, um dort auf die persönlichen Daten des Opfers zuzugreifen. Zur Beseitigung der Schwachstelle muss das Protokoll angepasst werden. Eine ausführliche, mit Illustrationen versehene Beschreibung des Angriffs gibt es auf Hueniverse.

Rootkit der nächsten Generation näher als gedacht?

Im März haben Joanna Rutkowska und Rafal Wojtczuk einen Angriff auf den System Management Mode (SMM) der Intel-Prozessoren zur Installation eines Rootkits beschrieben ('Attacking SMM Memory via Intel CPU Cache Poisoning', PDF), der laut einem anonymen Beitrag im Microsoft Subnet Blog vor allem unter Linux sehr einfach durchzuführen ist. Der Exploit nutzt eine Art von Cache Poisoning, um Zugriff auf den eigentlich nur aus dem BIOS erreichbaren SMM-Speicher zu erlangen. Voraussetzung für einen Angriff sind root-Rechte, ein Angreifer muss ein System also bereits vollständig unter seine Kontrolle gebracht haben, um dann sein Rootkit im SMM zu verankern. Der Titel des Beitrags, "Intel CPU cache poisoning: dangerously easy on Linux", ist also ziemlich reißerisch. Vielleicht kennt der Autor nicht den alten Satz "Ich bin root, ich darf das!"? Wer auf einem Unix/Linux-System erst einmal root-Rechte erlangt hat, kann im Prinzip tun und lassen, was er will. Insbesondere natürlich, sein Rootkit so gut wie möglich tarnen.

Russischer Schädling sperrt Benutzer aus

Der bereits am 17. April gemeldete Schädling, der Benutzer auf Windows-Systemen aussperrt und erst nach Eingabe eines per SMS angeforderten Codes wieder den Zugriff auf das System zulässt, ist weiterhin aktiv. Damals hatte Symantec eine Anleitung zur Berechnung des Entsperr-Codes veröffentlicht, jetzt weist Sophos auf ein von Dr. Web bereitgestelltes Online-Tool zur Berechnung des Entsperr-Codes hin.

Gefährliche Schwachstellen vom 23.04.2009

• FOWLCMS:
  Umgehen der Authentifizierung durch Setzen eines Cookies, Heraufladen einer PHP-Shell und Einbinden lokaler Dateien möglich
• WebPortal CMS:
  Einbinden lokaler und entfernter Dateien über verschiedene Parameter und Skripte
• Sun Java:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes (vom 04.12.2008, aktualisiert)
• Zervit Webserver:
  Pufferüberlauf beim Verarbeiten einer überlangen URL erlaubt Ausführung beliebigen Codes, Directory-Traversal-Schwachstelle herunterladen beliebiger Dateien (vom 17.04.2009, aktualisiert)
• CoolPlayer+ Portable:
  Pufferüberlauf beim Verarbeiten präparierter .m3u-Dateien erlaubt evtl. Ausführung beliebigen Codes (vom 21.04.2009, aktualisiert)

Carsten Eilers