Inhalte überspringen »
Alle Topthemen
Mittwoch, 29. Juli 2009
Microsoft: Killbit im Internet Explorer wirkungslos
Microsoft hat
wie angekündigt
zwei außerplanmäßige Security Bulletins
veröffentlicht,
die drei Schwachstellen in der ActiveX-Implementierung bzw. -Unterstützung
beheben. Und weil man gerade dabei ist, hat man noch drei kritische
Schwachstellen im Internet Explorer behoben.
Schwachstellen in der Active Template Library (ATL)
Das Security Bulletin
MS09-035
beschreibt die Schwachstellen in Visual Studio …
Donnerstag, 23. Juli 2009
About Security #214: Schwachstellen-Suche: Authentifizierung – Grundlagen
Die Authentifizierung der Benutzer ist für viele Webanwendungen eine
Grundvoraussetzung für die folgende Nutzung, entsprechend sind
Angriffe darauf ebenso häufig wie gefährlich.
Webanwendungen unterscheiden sich insbesondere in zwei Punkten von normalen
Anwendungen: Das Web ist anonym - Webanwendungen wissen nicht, wer mit
ihnen kommuniziert, solange sie ihn nicht selbst identifiziert und
authentifiziert haben. Und …
Donnerstag, 16. Juli 2009
About Security #213: Schwachstellen-Suche: Webserver konfigurieren
Beim bereits in About Security
#203
erwähnten Virtual Hosting hosted ein Webserver mehrere voneinander
unabhängige Websites, die anhand des 'Host'-HTTP-Headers identifiziert
werden. Eine falsche Konfiguration kann dabei zu möglichen
Angriffspunkten führen.
Der Apache-Webserver wird z.B. folgendermaßen für die Nutzung
virtueller Hosts konfiguriert:
<VirtualHost *>
ServerName website.example
DocumentRoot www/website
</VirtualHost>
<VirtualHost *>
ServerName andere-website.example
…
Mittwoch, 15. Juli 2009
Patchday: Microsoft behebt 6 kritische und 3 wichtige Schwachstellen
Am Juli-Patchday hat Microsoft wie angekündigt je drei kritische und drei wichtige Security-Bulletins veröffentlicht. Insgesamt werden damit
6 kritische und 3 wichtige Schwachstellen behoben.
Drei kritische Bulletins
MS09-028 - DirectShow
Das Bulletin
MS09-028
beschreibt zwei bisher
unveröffentlichte
und eine bereits bekannte und für Angriffe ausgenutzte
Schwachstelle
bei der Verarbeitung von QuickTime-Dateien durch DirectShow, die alle die
Ausführung …
Dienstag, 14. Juli 2009
Microsofts 0-Day-Schwachstelle Nummer 3
Microsoft hat eine weitere 0-Day-Schwachstelle
bestätigt,
es ist bereits die dritte seit dem 28. Mai. Diesmal befindet sich die
Schwachstelle
in einer Office-Webkomponente und erlaubt wie die vorhergehenden
0-Day-Schachstellen die Ausführung beliebigen Codes, wenn eine
entsprechend präparierte Website mit dem Internet Explorer besucht
wird. Laut einem
Eintrag
im Handler's Diary des ISC wurde der Exploit auch für …
Donnerstag, 9. Juli 2009
About Security #212: Schwachstellen-Suche: Proxy-Server
Arbeitet der Webserver auch als Forward-HTTP-Proxy-Server, kann er unter
Umständen als Hilfsmittel für weiterführende Angriffe
dienen: Auf andere Server im Internet, auf andere Server im internen Netz
oder auf andere Dienste auf dem Webserver selbst.
Angriffe auf andere Server im Internet
Ein Angreifer kann über den Webserver bzw. genauer den
Forward-HTTP-Proxy-Server evtl. andere Server im Internet angreifen, …
Dienstag, 7. Juli 2009
Laufende Angriffe über mehrere kritische Schwachstellen
Kritische Schwachstellen in zwei bzw. drei Produkten werden zur Zeit im
Rahmen von Drive-by-Infektionen bzw. für deren Vorbereitung
ausgenutzt: Cyberkriminelle dringen über
Schwachstellen im FCKEditor,
der auch
in ColdFusion enthalten
ist, in ColdFusion-Websites ein und präparieren diese für
Drive-by-Infektionen. Und eine
0-Day-Schwachstelle in Windows
wird im Rahmen von Drive-by-Infektionen ausgenutzt, um Code auf den
Rechnern der Besucher präparierter …
Donnerstag, 2. Juli 2009
About Security #211: Schwachstellen-Suche: Gefährliche HTTP-Methoden
Außer den in About Security
#209
und
#210
beschriebenen Default-Inhalten und nicht für die Allgemeinheit
gedachten Funktionen gibt es auch HTTP-Methoden, die für einen
Angreifer nützlich sein können.
GET und POST sind nur der Anfang
Webserver unterstützen außer den meistgenutzten Methoden GET und
POST eine ganze Reihe weiterer
Methoden
für spezielle Aufgaben. Einige davon können von einen Angreifer
für seine …
Donnerstag, 25. Juni 2009
About Security #210: Schwachstellen-Suche: Webserver-Konfiguration
Webserver enthalten außer den in About Security
#209
beschriebenen Beispielanwendungen weitere, oft unerwünschte
"Default-Inhalte", die beim Missbrauch durch einen Angreifer unter
Umständen großen Schaden anrichten können.
Nicht für die Allgemeinheit gedachte
Funktionen
Viel Webserver-Software (was nicht nur den Webserver im Sinne des
HTTP-Servers, sondern auch für die Webanwendung verwendete
Applicationserver, Datenbankserver usw. umfasst) enthält mächtige
Funktionen, die zwar nicht für …
Donnerstag, 18. Juni 2009
About Security #209: Schwachstellen-Suche: Webserver untersuchen
Was macht man, wenn im eingesetzten Webserver oder anderen für den
Betrieb der Webanwendung benötigten Komponenten eine Schwachstelle
entdeckt wird? Erst mal muss man selbst davon erfahren, und das am besten,
bevor es zu einem Angriff auf den eigenen Server gekommen ist. Wo man
entsprechende Informationen finden, wurde in About Security
#208
beschrieben.
Schwachstelle …
Donnerstag, 11. Juni 2009
About Security #208: Schwachstellen-Suche: Webserver schützen
Die in About Security
#207
beschriebenen Angriffe sind ein aktuelles Beispiel, wie ein Angreifer eine
gerade erst entdeckte Schwachstelle ausnutzen kann, bevor sie beim Opfer
überhaupt bekannt ist.
Verstecken als Gegenmaßnahme?
Wie schützt man sich vor Angriffen auf solche Schwachstellen? Im
Prinzip klingt das unmöglich - wie soll man sich vor etwas
schützen, das man gar nicht kennt? …
Mittwoch, 10. Juni 2009
Patchday: Microsoft schließt 31 Schwachstellen, Adobe 7
Am Juni-Patchday hat Microsoft wie angekündigt insgesamt 10 Security-Bulletins veröffentlicht, die insgesamt 35 Schwachstellen
beheben, darunter 26 zuvor nicht bekannte.
Ein
Eintrag
im Blog des Microsoft Security Response Center (MSRC) weist darauf hin, das
die aktuell für Angriffe ausgenutzte
DirectX-Schwachstelle
noch nicht
behoben werden konnte, da die Qualitätssicherung noch nicht mit den Patches
zufrieden ist. Der Eintrag enthält auch …
Donnerstag, 4. Juni 2009
About Security #207: Schwachstellen-Suche: Webserver angreifen
Nachdem der Webserver wie in About Security
#206
beschrieben mit ausreichender Sicherheit identifiziert wurde, können
darin vorhandene Schwachstellen ausgenutzt werden.
Bekannte Schwachstellen finden
Um bekannte Schwachstellen in einem bestimmten Programm zu finden, gibt es
eine ganze Reihe von Möglichkeiten. So werden Schwachstellen von
mehreren Organisationen und Unternehmen in Datenbanken gesammelt, z.B. in
der Open Source Vulnerability Database
osvdb
oder von …
Donnerstag, 28. Mai 2009
About Security #206: Schwachstellen-Suche: Webserver identifizieren
Angriffe auf den Webserver und die Suche nach dafür ausnutzbaren
Schwachstellen sind das Thema dieser und der kommenden Folgen. So, wie eine
normale Anwendung auf das Betriebssystem und seine Funktionen angewiesen
ist, ist eine Webanwendung auf den Webserver angewiesen. Ein Angreifer, der
die Kontrolle über den Webserver erlangt, kann danach auch die
Webanwendung kompromittieren.
Angriffe auf Webserver …
Dienstag, 26. Mai 2009
International PHP Conference Spring 2009: Kick off in Berlin
Heute versammelt sich die PHP Community wieder in Berlin, wo die Spring Edition der International PHP Conference die kommenden Tage ihre Zelte aufgeschlagen hat. Rund 20 Speaker, 26 Sessions, hunderte von Besuchern und das Konferenzpaket begleitend aus webinale und RailsWayCon sollen dabei für spannende und auch technologiekonzentrierte Unterhaltung sorgen.
Bereits am Morgen …
Donnerstag, 21. Mai 2009
About Security #205: Schwachstellen-Suche: Shared Environments (3)
Bei der Suche nach Schwachstellen in Shared Environments muss man zwei
Bereiche berüchsichtigen: Zum einen Schwachstellen in den vorhandenen
Webanwendungen, die einen Angriff auf das gesamte Shared Environment
erlauben. Dabei geht man genau so vor, wie bei der Suche nach
Schwachstellen in einzeln gehosteten Webanwendungen. Zum anderen muss man
nach Schwachstellen im Shared Environment selbst suchen.
Untersuchung …
Donnerstag, 14. Mai 2009
About Security #204: Schwachstellen-Suche: Shared Environments (2)
Für Schwachstelle in und Angriffe auf bzw. durch Anwendungen, die die
gleiche Infrastruktur nutzen, gibt es eine Reihe von Möglichkeiten. Im
Gegensatz zu einzeln gehosteten Anwendungen stellen nicht nur externe
Angreifer, sondern auch böswillige Mitbenutzer eine potentielle Gefahr
dar.
Hintertür durch die Vordertür
In Shared-Hosting-Umgebungen gibt es ein grundsätzliches Problem, das
bei einzeln gehosteten Anwendungen nicht auftritt: Die …
Mittwoch, 13. Mai 2009
Microsoft Patchday: 14 auf einen Streich
Am Mai-Patchday hat Microsoft wie
angekündigt
ein als kritisch eingestuftes Security-Bulletin zu PowerPoint
veröffentlicht:
Das Bulletin
MS09-017
behebt auf einen Schlag 14 Schwachstellen, die alle die Ausführung
beliebigen Codes erlauben. Zum Vergleich: Am
April-Patchday
waren es 23 Schwachstellen, aber dafür wurden 8 Bulletins benötigt.
Kritisch für PowerPoint 2000 SP3
Das Bulletin wird für PowerPoint 2000 SP3 als kritisch eingestuft,
für …
Donnerstag, 7. Mai 2009
About Security #203: Schwachstellen-Suche: Shared Environments
In Umgebungen, in denen verschiedene Anwendungen die gleiche Infrastruktur
nutzen, können Schwachstellen in bzw. Angriffe auf eine der
Anwendungen entweder zur Kompromittierung der Infrastruktur und/oder aller
anderen Anwendungen führen. Typische Fälle solcher Umgebungen
sind das Shared Hosting und Application Service Provider.
Unabhängig davon, ob eine Website auf einem eigenen Server bei einem
Colocation-Provider, im Rahmen von Shared …
Donnerstag, 30. April 2009
About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
Außer der Ausnutzung von Vertrauensbeziehungen gibt es in
Schichtenarchitekturen für Webanwendungen zwei weitere mögliche
Angriffe: Über eine Schwachstelle in einer Schicht können
Schutzmaßnahmen einer anderen unterlaufen werden, oder nach der der
Kompromittierung einer Schicht erfolgen interne Angriffe auf die anderen
Schichten. Beide Fälle werden im folgenden beschrieben.
Angriffe durch andere Schichten
Sind die verschiedenen Schichten nicht ausreichend getrennt, …
